Content-Security-Policy

主要用于規避部分XSS攻擊，可以通過配置該頭部去設置相關的策略告訴瀏覽器哪些可以執行哪些不可以執行。可以設置的策略挺多的，這里不做贅述，可以訪問騰訊開發者文檔查看更加詳細的說明。

我所知道添加策略的方案一共有3種：

1. 在服務器端添加，在tomcat/nginx這些位置添加

2. 在controller層添加，通過HttpServletResponse將header添加進去

3. 在前端添加，通過<meta>標簽添加(具體不知道)