什么是 Content-Security-Policy 头部信息？

Content-Security-Policy（CSP）是一种HTTP头部信息用于帮助网站管理员减少跨站脚本攻击（XSS）、点击劫持等安全风险。它通过定义允许加载的资源来源，限制了浏览器在渲染页面时可以执行的操作。

CSP头部信息可以包含多个指令，每个指令对应一个安全策略。常见的指令包括：

1. default-src：指定默认的资源加载策略，如果其他指令没有覆盖到的资源加载将使用该策略。
2. script-src：指定可信任的JavaScript脚本来源。
3. style-src：指定可信任的CSS样式表来源。
4. img-src：指定可信任的图片来源。
5. font-src：指定可信任的字体来源。
6. connect-src：指定可信任的网络请求来源，如Ajax、WebSocket等。
7. frame-src：指定可信任的框架来源，如<frame>、<iframe>等。
8. media-src：指定可信任的媒体资源来源，如音频、视频等。
9. object-src：指定可信任的<object>、<embed>等对象资源来源。
10. child-src：指定可信任的子资源加载策略，如<frame>、<iframe>、<worker>等。

通过配置CSP头部信息，网站管理员可以限制页面中各种资源的加载来源，从而减少恶意脚本的注入和执行，提高网站的安全性。