0x01 CSP介绍
CSP[0] 是由单词 Content Security Policy 的首单词组成，CSP旨在削减 (留意这儿是削减而不是消除) 跨站脚本进犯。CSP是一种由开发者界说的安全性政策性声明，经过 CSP 所束缚的的规责指定可信的内容来历（这儿的内容能够指脚本、图片、iframe、fton、style等等或许的长途的资源）。经过CSP协议，让WEB处于一个安全的运转环境中，现在 CSP 现已到了 3.0 阶段。
现代阅读器现在都能够经过获取 Header 头来进行 CSP 装备，E.g php Set Header：
header("Content-Security-Policy: default-src 'self'; script-src 'self' server.n0tr00t.com;");
Content Security Policy 1.0 各阅读大致支撑状况表格：

Content Security Policy 1.0 各阅读详细支撑状况图[1]：

指令参阅：
指令         阐明
default-src 界说资源默许加载战略
connect-src 界说 Ajax、WebSocket 等加载战略
font-src    界说 Font 加载战略
frame-src   界说 Frame 加载战略
img-src 界说图片加载战略
media-src   界说 、 等引证资源加载战略
object-src  界说 、、 等引证资源加载战略
script-src  界说 *** 加载战略
style-src   界说 CSS 加载战略
sandbox 值为 allow-forms，对资源启用 sandbox
report-uri  值为 /report-uri，提交日志
Source List Reference[2]：

0x02 规矩示例
注：
多个指令用分号进行切割；
多个指令值运用英文空格切割；
指令值在非域名时左右须运用引号包括；
指令重复的话将以之一个为准；
1.界说一切类型资源为默许加载战略，答应履行加载 本身及 test.n0tr00t.com 的 *** 资源：
Content-Security-Policy: "default-src 'self'; script-src 'self' test.n0tr00t.com"
X-Content-Security-Policy: "default-src 'self'; script-src 'self' test.n0tr00t.com"
X-WebKit-CSP: "default-src 'self'; script-src 'self' test.n0tr00t.com"
2.制止 frame ，答应一切图画，Style Self，答应履行加载一切 n0tr00t.com 域下的 *** 资源：
Content-Security-Policy: "script-src *.n0tr00t.com; style-src 'self'; img-src *; frame-src 'none'"
X-Content-Security-Policy: "script-src *.n0tr00t.com; style-src 'self'; img-src *; frame-src 'none'"
X-WebKit-CSP: "script-src *.n0tr00t.com; style-src 'self'; img-src *; frame-src 'none'"
3.Content-Security-Policy-Report-Only 搜集日志陈述：
Content-Security-Policy-Report-Only: script-src 'self'; report-uri http://linux.im/test/csp/report
LogResult:
{
    "csp-report": {
        "document-uri": "http://linux.im/csp.php",
        "referrer": "test ref",
        "violated-directive": "script-src 'self'",
        "original-policy": "script-src 'self'; report-uri http://linux.im/test/csp/report",
        "blocked-uri": ""
    }
}
4.答应履行内联 *** 代码，但不答应加载外部资源：

Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline';
别的咱们也能够运用在线生成 CSP 规矩的站点来辅佐编写：http://cspisawesome.com/
0x03 预加载
在 HTML5 中的一个新特性：页面资源预加载(Link prefetch)[3]，他是阅读器供给的一个技巧，意图是让阅读器在闲暇时刻下载或预读取一些文档资源，用户在将来将会拜访这些资源。一个Web页面能够对阅读器设置一系列的预加载指示，当阅读器加载完当时页面后，它会在后台静悄悄的加载指定的文档，并把它们存储在缓存里。当用户拜访到这些预加载的文档后，阅读器能快速的从缓存里提取给用户。
这种做法从前被称为 Prebrowsing ，能够细分为几个不同的技能：DNS-prefetch、subresource 和规范的 prefetch、preconnect、prerender ，并不是像很多人幻想的那样，只要 Chrome 才支撑预加载，现在绝大多数的阅读器都已支撑。
HTML5 页面资源预加载/预读取(Link prefetch)功用是经过Link符号完结的，将 rel 特点指定为 prefetch ，在 href 特点里指定要加载资源的地址即可。例如：
Chrome, Firefox ：

Chrome 预烘托（不要乱用！对地址一切资源进行提早烘托，如未运用的话则会白白浪费烘托资源。）:

DNS 预解析 DNS-Prefetch ，阅读器闲暇时提早将剖析页面需求资源地点的域名转化为 IP 地址，当阅读器真实运用到该域中的某个资源时就能够尽快地完结 DNS 解析。（例如在地址栏中输入 URL 时，Chrome 就现已主动完结了预解析乃至烘托，从而为每个恳求节省了很多的时刻。）：

[1] [2] [3]  黑客接单网