Я не знаю, где применить приведенный ниже фрагмент политики безопасности контента (CSP) в моем коде;
Content-Security-Policy: script-src 'self' https://apis.google.com
Это должно быть в HTML?
Будет ли это лучше всего реализовано в JavaScript, как показано в приведенном ниже фрагменте кода?
var policy = "default-src 'self'";
http.createServer(function (req, res) {
res.writeHead(200, {
'Content-Security-Policy': policy
});
});