https://onlinebanking.jumbobank.com

♦例子5

看github.com的真实CSP例子。Github允许加载任何域的内容，但只能加载指定域的脚本，只能加载指定域的样式并可以执行内联样式，只能通过SSL加载指定域的flash插件。

Content-Security-Policy:default-src *;

script-src 'self'

https://ssl.google-analytics.com

https://raw.github.com;

style-src 'self' 'unsafe-inline'

https://github.global.ssl.fastly.net;

object-src https://github.global.ssl.fastly.net

在线CSP编写，可以协助和帮助网站管理员编写出适合自己站点的CSP。http://cspisawesome.com/

CSP的语法和指令并不复杂，但如果没有充分了解网站业务和安全需求，错误的使用CSP则会适得其反。

（1）笔者在2013年底访问http://www.grosshandel-hahn.de/，发现CSP策略明显使用错误。

可以看到使用X-Content-Security-Policy-Report-Only。此头的意思是让浏览器只汇报日志，不阻止任何内容。但这条策略里却没有给出接收信息日志的地址。

（2）Content-Security-Policy: default-src https:; frame-src test.com;。这个策略方案是有问题的，此头限制https以外的所有资源，但又允许iframe通过http进行加载。现实中，这样的场景应该很难出现。

七、CSP分析报告

对于网站管理员来说CSP的一个强大功能是它可以产生试图攻击你网站的分析报告。你可以用report-uri指令使浏览器发送HTTP POST请求把攻击报告以JSON格式传送到你指定的地址。接下来给大家介绍你的站点如何配置来接收攻击报告。

♦启用报告

默认情况下，违规报告不会发送。为了能使用违规报告，你必须使用report-uri指令，并至少提供一个接收地址。

Content-Security-Policy: default-src self; report-urihttp://reportcollector.example.com/collector.cgi