内容安全策略（CSP）

MDN 针对 CSP 的配置写的比较详细：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP#兼容性备注

目前遇到的一个场景：

http 的网站，通过 iframe 嵌套了 https 的网站，导致 https 网站请求接口失败，failed to load response data:connection is closed, can not dispatch pending call to network.getresponseBody。

解决方案就是在当前 http 网站添加 meta 头：<meta http-equiv="Content-Security-Policy" content="frame-src 'self' https://example.com;">

这个方案也是听别人说，有待实际场景验证。