HTTP 響應頭 Content-Security-Policy 允許站點管理者控製用戶代理能夠爲指定的頁面加載哪些資源。除了少數例外情況，設置的政策主要涉及指定服務器的源和腳本結束點。這将幫助防止跨站腳本攻擊（Cross-Site Script）

強製使用https

添加代碼

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

浏覽器兼容

• https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy#浏览器兼容性

免費https證書

• 推薦一個免費https證書網站：https://freessl.cn/