HTTP 響應頭 Content-Security-Policy 允許站點管理者控製用戶代理能夠爲指定的頁面加載哪些資源。除了少數例外情況，設置的政策主要涉及指定服務器的源和腳本結束點。這将幫助防止跨站腳本攻擊（Cross-Site Script）

強製使用https

添加代碼

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

浏覽器兼容

• https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy#浏览器兼容性

部署推薦

必須使用HTTPS部署

寶塔部署

• 寶塔服務器運維面闆，一鍵申請Let's Encrypt證書，自動續期

其他部署

• 安裝其他WEB服務器，需自行申請Let's Encrypt的https證書，3個月一次申請，操作複雜