Content-Security-Policy（CSP）的内容构成。

Content-Security-Policy的内容可以包含以下指令1：

• default-src 。这个指令定义了所有未被其他指令明确允许的资源的请求。例如， Content-Security-Policy: default-src http://example.com 会阻止加载除了 http://example.com 以外的任何资源。
• script-src 。这个指令定义了哪些源可以执行脚本。例如， Content-Security-Policy: script-src https://example.com 会阻止执行任何非 https://example.com 的脚本。
• style-src 。这个指令定义了哪些源可以加载样式表（CSS）。
• img-src 。这个指令定义了哪些源可以加载图片。
• frame-src 。这个指令定义了哪些源可以嵌入框架或者被框架嵌入。
• object-src 。这个指令定义了哪些源可以加载对象（例如：Flash、Silverlight）。

每一个指令后面都应该有一个或多个源，多个源之间使用空格分隔。如果需要允许所有来源的资源，可以使用 *。例如， Content-Security-Policy: script-src * 会允许从所有源加载脚本。