看 sf 上安全问题挺少的。。初学者，看了些资料发现 CSP 好像是从安全策略上（从协议层把一些存在安全隐患的用法默认拒绝）就做了改变，想知道 CSP 抵御 XSS 具体的防护是怎么做的。