Как настроить Content Security Policy в Node.js?

CSP заголовок ограничивает откуда браузер загружает ресурсы — защита от XSS. helmet.contentSecurityPolicy({ directives: { defaultSrc: ["self"], scriptSrc: ["self", "cdn.example.com"], styleSrc: ["self", "unsafe-inline"], imgSrc: ["self", "data:", "cdn.example.com"] } }). nonce для inline scripts. report-uri для мониторинга нарушений. Начни с Content-Security-Policy-Report-Only — будет только логировать нарушения без блокировки. Потом переходи на блокирующий режим. Для SPA может быть сложно из-за inline скриптов.