Een Content Security Policy is een HTTP-header die bepaalt welke bronnen (scripts, stylesheets, afbeeldingen, fonts) geladen en uitgevoerd mogen worden. Het is een krachtige verdediging tegen XSS. Je definieert een allowlist van vertrouwde domeinen, bijvoorbeeld: script-src ‘self’ https://trusted.com.