Для чего устанавливать Content-Security-Policy?

Question

[Teleweb developer]

Здравствуйте, недавно увидел метатег для защиты сайта:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'">

Но понял что в проектах где используется socket.io, jquery, и тд, просто не работают, так вопрос:
Для чего? Ведь оно блокирует абсолютно всё что подключается

Answer 1

[Кирилл Никитин]

Оно блокирует не всё, а то, что ему сказали. Вернее, что не разрешили. Это вы сами решаете в content.
Защита от межсайтового скриптинга, XSS который, чтоб мешать хацкерам внедрить и исполнить всякое через вас.

Comments

[Teleweb developer]

А можете привести пример как правильно разрешить внедрение чужих стилей, и внедрение socket.io?

[Кирилл Никитин]

Teleweb developer, просто добавляете к self нужные вам домены: default-src 'self' example.com *.example.com Это на всё. Если только скрипты, то к script-src нужные домены и тд. Короче говоря, вы явно указываете кому можно доверять. Посмотрите документацию, это проще всего.