在 http 网页中使用 CSP 能帮助防止 http 劫持吗?

可以防简单粗暴的加塞脚本劫持。
但理论上仍能劫持，比如把你 http 头的 csp 也篡改了。

还不错的，当然运营商是通用劫持，可能不会用上面的方法来单独针对你。

有可能会把全部的 CSP 响应头或标签干掉就完事了，但至少目前还没有发现这样的行为。

不过建议你还是尽快切换为 https ，引用的 http 外链建议全部本地化。

可以暂时改善 但是 ISP 可以轻松的通过把你的 CSP 头去掉或者改掉 然后接着劫持

另外 ISP 还可以劫持 JS 脚本来做到同样的事情 CSP 就无能为力了

@Quaintjade js 写入 meta 劫持不了吧（可以在代码上稍微改变一下 meta 标签的特征）

外链的一般是图片吧，那应该可以试试把自己控制的都用 https ，虽然有警告但加载 http 图片一般是可以的

不能，配合 https 才有效

@nfroot
既然是明文传输，理论上可以把你用来写入 meta 的那个 js 劫持或者篡改掉。
当然这只是理论上的，实际上运营商不会费这么大力气来单独劫持你的网站。

运营商劫持的原理是把 xxxx.js 改成 他们的广告 js 然后最后加一句 document.write("xxxx.js?v=123123")

其中 v=123123 就是劫持白名单

最好的办法是页面中的 js 的 URL 不以 js 结尾。

然后页面要这样写：

<html>
<!-<head>
</head>-->
<head>
...
</head>
<!-<head></head><body>-->
<body>
</body>
</html>

这样一些自作聪明插入 js 的劫持也会插入到注释里去

另外你可以在某些页面插入自己的一段 js 脚本，随机把当前整个 html 里面的内容 post 回你的服务器，看看有没有遭到篡改。 一些浏览器插件也会修改，反正自己人工比较吧。

@est 于是自作聪明的劫持在代码开头写了一个<!-- 完美消除楼上带来的影响 --->，类似的还有 noscript 标签， noframes 标签哈哈哈哈

@nfroot 你写一个试试？我看看如何完美的。

@nfroot 我也想看您是怎么完美的。

@est
不太明白，为什么这样写会

@dong3580 你看我 blog 源码就是这样处理过的 http://blog.est.im/