并且通过 --this CSP 指令，可以让浏览器帮助做这个转换。启用此策略后，有两个变化： 与所有其他 CSP 规则一样，该指令可以通过两种方式启用配置burpsuit谷歌浏览器证书及HSTS问题处理，具体格式请参见上一节。需要注意的是——只是替换了协议部分，所以只适用于HTTP/HTTPS域名和路径完全一致的场景。 合理使用 HSTS...