"CSP connect-src 与 default-src：前端请求治理与安全边界"

概述`connect-src` 限制前端到哪些源发起网络连接（API、WebSocket、SSE 等），`default-src` 为其他未显式声明的指令提供默认策略。精确白名单与按环境区分可降低泄露与滥用风险。示例Content-Security-Policy: default-src 'self'; connect-src 'self' https://api.example.com https://ws.example.com 工程建议环境分层：在开发/测试/生产使用不同白名单；避免通配符放宽。联合策略：结合 `upgrade-insecure-requests` 与报表；逐步收紧并监控影响。兼容与灰度：先在 Report-Only 模式验证；修复后切换强制模式。参考与验证MDN CSP 文档：https://developer.mozilla.org/docs/Web/HTTP/Headers/Content-Security-Policyweb.dev CSP 实践指南：https://web.dev/articles/csp