看 sf 上安全問題挺少的。。初學者，看了些資料發現 CSP 好像是從安全策略上（從協議層把一些存在安全隱患的用法默認拒絕）就做了改變，想知道 CSP 抵御 XSS 具體的防護是怎么做的。