Content Security Policy ist eine Sicherheitsebene, die vor bestimmten Angriffen schützt.
Dazu gehören Cross-Site-Scripting (XSS) und Data-Injection-Angriffe. Diese Angriffe werden für verschiedene Zwecke genutzt, zum Beispiel um Daten zu stehlen, Websites zu verändern oder Malware zu verbreiten.
CSP ist mit allen Browsern kompatibel, außer mit Version 2. Browser, die CSP nicht unterstützen, können trotzdem mit Servern, die es implementieren, funktionieren. Browser, die CSP nicht unterstützen, ignorieren es und funktionieren wie gewohnt. Wenn die Website den CSP-Header nicht anbietet, verwenden die Browser ebenfalls die standardmäßige Same-Origin-Policy.