CSP 的全称是 Content-Security-Policy，中文称为 内容安全策略。它是一种浏览器安全策略，用于配置在网站主文档的 Response header 上，以限制资源加载和执行，从而显著提升网站的安全性。CSP 本质上是一种白名单机制，提供了对 script、img、网络请求等各类资源的限制能力。开发者需要配置 CSP 白名单，以告诉浏览器允许哪些资源加载和执行。

CSP 主要用于解决以下问题：

跨站脚本攻击（XSS）：

通过限制可执行的脚本来源，减少XSS攻击的风险。

数据注入攻击：

通过限制资源的加载和执行，防止恶意代码注入。

增强隐私保护：

通过限制第三方资源的加载，减少用户隐私泄露的风险。

CSP 已经成为现代 Web 应用程序安全的重要组成部分，被广泛应用于各种规模的企业和网站。