專題 C3:網路與安全
會導致正式環境故障的 CSP 常見錯誤
CSP 最危險的地方不在於不會寫,而在於上線後靜默攔截腳本、字型與第三方資源。
最常見的問題是策略與真實資源不一致
團隊常常只確認頁面能開,卻沒有覆蓋第三方腳本、內嵌樣式、字型與延遲載入資源。
只要 `script-src`、`connect-src`、`frame-src` 與實際依賴不符,就會在正式環境出現功能缺失但請求仍然 200 的隱性故障。
更安全的發布方式
- 先用 Report-Only 收集真實攔截,再收斂正式策略。
- 每次新增第三方腳本或網域時同步更新策略與回歸案例。
- 把回應標頭 diff 納入部署檢查,避免 CDN 或代理覆寫 CSP。
實用輸入/輸出範例
輸入
Content-Security-Policy: script-src 'self'; connect-src 'self'
輸出
前端呼叫 https://api.partner.com 被攔截 需要補上 connect-src https://api.partner.com