https://web.dev/strict-csp/

ドメインの許可リストのCSPよりも、strict設定のCSPを推奨するという話。 nonceとstrict-dynamicベースのCSP設定で防げるXSS、nonceベースとhashベースのCSPの設定、CSPの導入手順について