Content Security Policy (CSP)
CSP is a response header that restricts which scripts, styles, images, and fonts a browser will load on your page. A minimal CSP blocks inline scripts and external sources you don't explicitly allow — mitigating XSS. For indie launches, start with a reporting-only CSP for two weeks, watch the violation reports, then tighten to enforcement. Launching without any CSP is not catastrophic but leaves XSS wider than needed.
한국어
CSP는 브라우저가 페이지에서 로드할 수 있는 스크립트 · 스타일 · 이미지 · 폰트를 제한하는 응답 헤더예요. 최소 CSP는 명시적으로 허용하지 않은 인라인 스크립트 + 외부 소스 차단 — XSS 완화. 인디 런칭엔 2주간 report-only로 시작, 위반 리포트 보고 enforcement로.
日本語
CSPはブラウザがページで読み込むスクリプト・スタイル・画像・フォントを制限するレスポンスヘッダ。最小構成はインラインスクリプトと明示許可外のソースをブロック — XSS緩和。インディローンチでは2週間 report-only で運用、違反レポートを見て enforcement に切り替える。