js之CSP(Content-Security-Policy)模式:
CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。
它的实现和执行全部由浏览器完成，开发者只需提供配置.
两种方法可以启用 CSP。一种是通过 HTTP 头信息的Content-Security-Policy的字段。另一种是通过网页的 meta 标签。