HTTP 响应头 Content-Security-Policy 允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。这将帮助防止跨站脚本攻击(Cross-Site Script)
添加代码
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
必须使用HTTPS部署