
script-src:内容安全策略(CSP, Content Security Policy)中的一条指令,用来限制网页可以从哪些来源加载或执行 Javascript 脚本(例如只允许本站、特定 CDN,或只允许带 nonce/hash 的内联脚本),以减少 XSS 等攻击风险。
/skrpt srs/
The site uses script-src 'self' to allow scripts only from the same origin.
网站使用 script-src 'self' 来只允许从同源加载脚本。
To reduce XSS risk, we set script-src to allow a trusted CDN and require a nonce for inline scripts.
为降低 XSS 风险,我们设置 script-src 只允许受信任的 CDN,并要求内联脚本使用 nonce。
script 来自拉丁语 scriptum(“写下的东西”),引申为“脚本”;src 是 Web 领域常见缩写,源自 source(“来源/源头”),也常见于 HTML 的 src 属性。script-src 作为复合写法,来自 CSP 标准对“脚本来源”的命名方式。
script-src) script-src 用法) script-src 的配置建议)