<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Csp on Commentary of Takao</title><link>https://takao.blog/zh/tags/csp/</link><description>Recent content in Csp on Commentary of Takao</description><generator>Hugo -- gohugo.io</generator><language>zh</language><copyright>Commentary of Takao</copyright><lastBuildDate>Wed, 15 Jul 2026 22:01:08 +0900</lastBuildDate><atom:link href="https://takao.blog/zh/tags/csp/index.xml" rel="self" type="application/rss+xml"/><item><title>为 Hugo 博客设计现代内容安全策略</title><link>https://takao.blog/zh/web/hugo-latest-csp-best-practices-2026/</link><pubDate>Fri, 05 Jun 2026 00:00:00 +0900</pubDate><guid>https://takao.blog/zh/web/hugo-latest-csp-best-practices-2026/</guid><description>&lt;img src="https://takao.blog/img/thumbnail/hugo-latest-csp-best-practices-2026-zh.png" alt="Featured image of post 为 Hugo 博客设计现代内容安全策略" /&gt;&lt;h2 id="为什么-csp-对于静态站点很重要"&gt;为什么 CSP 对于静态站点很重要
&lt;/h2&gt;&lt;p&gt;使用 Hugo 构建的静态站点本质上比动态应用程序更安全，但它们仍然执行用于分析、广告和嵌入的第三方脚本。 &lt;strong&gt;内容安全策略 (CSP)&lt;/strong&gt; 通过控制可以加载的资源来保护您的访问者免受 XSS、数据注入和恶意脚本执行的侵害。&lt;/p&gt;</description></item><item><title>使用仅内容安全策略报告安全地测试 CSP 规则</title><link>https://takao.blog/zh/web/security-content-security-policy-csp-report-only/</link><pubDate>Fri, 15 May 2026 00:00:00 +0900</pubDate><guid>https://takao.blog/zh/web/security-content-security-policy-csp-report-only/</guid><description>&lt;img src="https://takao.blog/img/thumbnail/security-content-security-policy-csp-report-only-zh.png" alt="Featured image of post 使用仅内容安全策略报告安全地测试 CSP 规则" /&gt;&lt;h2 id="损坏的小部件问题"&gt;损坏的小部件问题
&lt;/h2&gt;&lt;p&gt;部署内容安全策略是抵御 XSS 攻击的最强有力的防御措施之一。但是，一个错误配置的指令可能会默默地破坏内联脚本、阻止 CDN 资源或禁用分析。如果您直接通过 &lt;code&gt;Content-Security-Policy&lt;/code&gt; 标头应用 CSP，并且关键脚本被阻止，您的生产站点就会中断 - 通常没有明显的错误控制台通知。&lt;/p&gt;</description></item><item><title>为什么以及如何在 CSP 中采用“严格动态”</title><link>https://takao.blog/zh/web/security-csp-strict-dynamic-implementation/</link><pubDate>Sun, 15 Jun 2025 00:00:00 +0900</pubDate><guid>https://takao.blog/zh/web/security-csp-strict-dynamic-implementation/</guid><description>&lt;img src="https://takao.blog/img/thumbnail/security-csp-strict-dynamic-implementation-zh.png" alt="Featured image of post 为什么以及如何在 CSP 中采用“严格动态”" /&gt;&lt;h2 id="介绍"&gt;介绍
&lt;/h2&gt;&lt;p&gt;实施&lt;strong&gt;内容安全策略 (CSP)&lt;/strong&gt; 是减轻跨站脚本 (XSS) 风险的高效方法。然而，配置和维护策略可能会成为一个令人头疼的问题。&lt;/p&gt;
&lt;p&gt;对于使用第三方 SDK（例如 Google 跟踪代码管理器、分析信标、支付小部件或社交共享按钮）的网站，这些脚本通常会从嵌套域动态加载（注入）其他脚本。这迫使开发人员在 &lt;code&gt;script-src&lt;/code&gt; 指令中维护一个长而脆弱的外部域白名单。&lt;/p&gt;</description></item></channel></rss>