CSP connect-src 与 default-src：前端请求治理与安全边界

---

title: CSP connect-src 与 default-src：前端请求治理与安全边界

keywords:

• connect-src
• default-src
• fetch/XHR/WebSocket
• 前端请求治理
• 安全边界

description: 说明 CSP 的 connect-src 与 default-src 对前端请求（fetch/XHR/WebSocket/EventSource

等）的限制与治理策略，如何精确白名单并与环境区分，提升安全性。

categories:

• 文章资讯
• 技术教程

---

概述

connect-src 限制前端到哪些源发起网络连接（API、WebSocket、SSE 等），default-src 为其他未显式声明的指令提供默认策略。精确白名单与按环境区分可降低泄露与滥用风险。

示例

Content-Security-Policy: default-src 'self'; connect-src 'self' https://api.example.com https://ws.example.com

工程建议

• 环境分层：在开发/测试/生产使用不同白名单；避免通配符放宽。
• 联合策略：结合 upgrade-insecure-requests 与报表；逐步收紧并监控影响。
• 兼容与灰度：先在 Report-Only 模式验证；修复后切换强制模式。

参考与验证

• MDN CSP 文档：https://developer.mozilla.org/docs/Web/HTTP/Headers/Content-Security-Policy
• web.dev CSP 实践指南：https://web.dev/articles/csp