“Content-Security-Policy”头缺失或不安全

https://server.51cto/sSecurity-576115.htm?mobile
https://developer.mozilla/zh-CN/docs/Web/HTTP/CSP

response通过发送一个 CSP 头部，来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。
CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。

“Content-Security-Policy”头旨在修改浏览器呈现页面的方式，从而防止各种跨站点注入，包括跨站点脚本攻击。请务必正确设置该头值，使其不会阻止网站的正确操作。
为了防止跨站点脚本编制，请务必为‘default-src’策略或‘script-src’和‘object-src’设置正确值。应避免不安全值，如‘’、‘data:’、‘unsafe-inline’或‘unsafe-eval’。 此外，为了防止跨框架脚本编制或点击劫持，请务必为‘frame-ancestors’策略设置正确值。应避免不安全值，如‘’或‘data:’。