現代的網站幾乎都使用HTTPS，它的目的就是讓資料傳輸時經過加密，防止中間人攻擊，但即使使用HTTPS，網站仍可能被惡意腳本入侵，像是跨站指令（XSS），因此，另一個重要的防護機制CSP就能幫助網站限制哪些資源能被載入，像是禁止載入外部JavaScript、限制圖片和iframe的來源、阻擋內嵌腳本。
HTTPS：負責保護資料不被偷看。
CSP：負責防止網站被惡意插入內容。

• 動手試試
  觀察HTTPS網站安全狀態
  首先打開任意網站，點網址列左邊的鎖頭查看連線是否安全，再隨意打開一個舊網站，像是學校網站或HTTP網址，會看到不安全的連線警告。

查看CSP設定
開啟Firefox的開發者工具，點擊Network，選第一個網頁請求，在右側標籤中找到回應標頭，看看是否有顯示這一行：Content-Security-Policy: default-src 'self'
有的話代表網站有啟用CSP，沒有的話，表示該網站仍可能會被XSS攻擊。

• 心得
  這次我觀察了不同網站的安全設定，發現幾乎所有大型網站都有HTTPS與CSP，而一些舊型網站或地方性服務仍然使用HTTP，實際查看回應標頭時，我第一次看到Content-Security-Policy這個設定，才知道原來瀏覽器真的會主動幫我們擋掉危險的內容，雖然只是簡單觀察，但我開始理解網站安全不只是防駭，還包含正確設定，一個HTTPS + CSP組合良好的網站，能讓使用者更安全地上網，也讓我看到網頁開發和資安密不可分的地方。