Content-Security-Policy 这玩意儿搞了一整天，头都大了。本地测试好好的，一上线就报错，原来是因为内联脚本被拦了……现在谁还写内联啊，可 legacy 代码就是这么不讲武德。改完又发现字体加载403，原来是没把 CDN 域名加进 default-src 里。折腾得够呛，但总算是稳了。这年头不会 CSP 都不敢说自己懂前端安全吧？