Что такое Content Security Policy?

CSP — HTTP header, который ограничивает, откуда браузер может загружать ресурсы. Content-Security-Policy: default-src 'self'; script-src 'self' cdn.example.com. Защищает от XSS: даже если атакующий внедрит скрипт, браузер не выполнит его, если источник не в whitelist. В Go — добавляешь header в middleware. Директивы: script-src, style-src, img-src, connect-src. report-uri — браузер шлёт отчёты о нарушениях. Начинай с Content-Security-Policy-Report-Only для тестирования.