如何添加内容安全策略(CSP)
本指南将解释如何为您的 Framer 网站添加内容安全策略(Content Security Policy, CSP)以增强安全性。
内容安全策略(CSP)通过控制允许哪些资源在您网站上加载,有助于防止跨站脚本(Cross-Site Scripting, XSS)攻击。Framer 网站在默认情况下是安全的。因此,添加 CSP 主要作为额外的保护层,特别是当您通过自定义 HTML 或自定义代码组件添加了不受信任的第三方代码(例如由标签管理器 Tag Managers 添加的跟踪脚本)时。
使用自定义代码功能。
将 CSP 的 meta标签放置在 head标签的最开头。
重要提示:所有其他脚本应插入在此 meta标签之后,因为该策略将应用于该标签之后的所有内容。
说明:此设置通常在“页面设置(Page Settings)”的“自定义代码(Custom Code)”部分完成。
不要直接使用截图中的示例策略,因为它可能与您站点的需求不符,并可能导致网站功能损坏。
提示: 您可以使用类似 Report URI的工具来生成一个根据您网站需求定制的 CSP。
与通过 HTTP 响应头设置 CSP 相比,通过 meta标签添加 CSP 可能会严重影响基于 Chrome 内核浏览器中您网站的性能 (来源):
Meta 标签:
添加方式与使用 HTTP 头类似。
但其效果是非标准的。
可能导致网站性能略受影响(在非 Chrome 内核浏览器中)或严重降低(在 Chrome 内核浏览器中)。
HTTP 头部 (推荐):
为了获得最佳性能,建议通过 HTTP 响应头配置 CSP。
这需要通过设置反向代理 (reverse proxy) 来实现(例如使用 Vercel, Netlify, Cloudflare 等平台)。
这是标准且最有效的实施方式,能最大化 CSP 的效能并最小化性能影响。
如果您在配置过程中遇到任何问题或需要进一步协助,欢迎通过我们的联系页面联系 Framer 的支持团队。