Content-Security-Policy с нуля: от report-only к жёсткому режиму
Как CSP снижает риск XSS, зачем nonce для inline-скриптов и как не сломать аналитику при первом включении.
CSP ограничивает источники скриптов, стилей и встраиваний: при строгой политике даже «легальный» инлайн без nonce/hash блокируется браузером.
Стартуйте с `Content-Security-Policy-Report-Only` и endpoint отчётов, соберите нарушения за неделю, затем переносите правила в боевой CSP.
- Content-Security-Policy — MDN — Директивы и примеры.
- CSP — web.dev — Введение и практика для разработчиков.
Интеграции
Теги GTM/пикселей часто требуют явного `script-src` для доменов вендора; документируйте список в репозитории рядом с политикой.
Избегайте `unsafe-inline` в финальной политике для script-src — это почти отменяет смысл CSP.