Когда я писал про CSRF, то говорил что важно настроить CSP (Content-Security-Policy). Что это такое?

Content-Security-Policy - это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак, включая Cross Scripting (XSS) и атаки на инъекции данных. Эти атаки используются для всего: от кражи данных до повреждения сайта или распространения вредоносного ПО.

Чтобы включить CSP, вам необходимо настроить веб-сервер для возврата HTTP-заголовка Content-Security-Policy.