Заголовок CSP ограничивает источники скриптов, стилей, изображений и т.д. Уменьшает риск XSS и внедрения контента. Директивы default-src, script-src, style-src. Отчеты о нарушениях (report-uri).