ブラウザに対し、スクリプトや画像などを読み込んでよい取得元を宣言するHTTPヘッダです。許可していない出所のコード実行をブラウザ側で止めます。
未設定だと、混入した不正スクリプトの実行や情報送信を止める最後の砦がない状態になります。
Content-Security-Policy ヘッダが設定され、script-src が 'unsafe-inline' を避けているかを確認します。サイトドックの健診で確認できます。
URLを入れるだけ。登録不要で、外から見える弱点をその場でスコア表示します。
無料で健診する