CSP
CSP (политика безопасности контента)
Стандарт безопасности браузера, который позволяет владельцам сайтов указывать, какие источники контента (скрипты, стили, изображения, шрифты) разрешено загружать, обеспечивая надёжную защиту от межсайтового скриптинга (XSS) и атак с внедрением данных.
Техническая деталь
CSP передаётся через HTTP-заголовок Content-Security-Policy или тег . Директивы включают default-src (резервная), script-src (источники JavaScript), style-src (CSS), img-src (изображения), connect-src (fetch/XHR), font-src и frame-src. Значениями могут быть 'self' (тот же источник), конкретные домены, 'unsafe-inline' (не рекомендуется), 'nonce-{случайное}' или 'sha256-{хеш}'. Директивы report-uri/report-to отправляют отчёты о нарушениях на указанный эндпоинт. Строгие политики CSP эффективно устраняют инлайновый XSS, требуя наличия nonce или хешей у всех скриптов.
Пример
```javascript
// CSP: web API example
const response = await fetch('/api/resource');
const data = await response.json();
console.log(data);
```