CSP [1] 以白名單的機(jī)制對(duì)網(wǎng)站加載或執(zhí)行的資源起作用。在網(wǎng)頁(yè)中，這樣的策略通過 HTTP 頭信息或者 meta 元素定義。CSP雖然提供了強(qiáng)大的安全保護(hù)，但是他也造成了如下問題：Eval及相關(guān)函數(shù)被禁用、內(nèi)嵌的JavaScript代碼將不會(huì)執(zhí)行、只能通過白名單來(lái)加載遠(yuǎn)程腳本。這些問題阻礙CSP的普及，如果要使用CSP技術(shù)保護(hù)自己的網(wǎng)站，開發(fā)者就不得不花費(fèi)大量時(shí)間分離內(nèi)嵌的JavaScript代碼和做一些調(diào)整，參考文獻(xiàn)匯總的Content Security Policy 1.0 研究的技術(shù)可以自動(dòng)化分離代碼和數(shù)據(jù)，幫助網(wǎng)站支持CSP技術(shù)避免潛在的跨站攻擊。