Кто давно в теме, наверняка слышал про Content Security Policy (CSP). Суть простая — это заголовок, который помогает подстраховаться от всякого рода атак с внедрением скриптов и прочего мусора на странице. При правильной настройке CSP может реально помочь снизить риски XSS и ещё пару подвохов.
Но вот фишка — настроить её так, чтобы не убить свой же сайт, не так просто. Есть базовый вариант с директивой default-src, которая задаёт общие правила, а есть разношёрстные варианты вроде script-src, style-src и так далее. Плюс можно подключить report-uri, чтоб знать, когда что-то пошло не так.
Проверить CSP очень просто — достаточно глянуть в ответ сервера в разделе заголовков и сверить правила с тем, что у тебя реально используется на сайте. Если что-то запрещает и ломает функционал — скорость надо корректировать. В идеале CSP “белый список” нужен, а не “черный”, иначе легко что-то сломать.