Content-Security-Policy

主要用于规避部分XSS攻击，可以通过配置该头部去设置相关的策略告诉浏览器哪些可以执行哪些不可以执行。可以设置的策略挺多的，这里不做赘述，可以访问腾讯开发者文档查看更加详细的说明。

我所知道添加策略的方案一共有3种：

1. 在服务器端添加，在tomcat/nginx这些位置添加

2. 在controller层添加，通过HttpServletResponse将header添加进去

3. 在前端添加，通过<meta>标签添加(具体不知道)