CSP Content Security Policy

上記のように、「サービス運営者はこれと、これと、あれが必要だ、それ以外は要らないと言っている(上記のルール記載)」とブラウザが認識し、そのルールに従って、サイトに訪れる一人ひとりの利用者を守っています。
Content Security Policy でユーザーを守ろう 2018

Content-Security-Policyの概要メモ - Qiita

HTMLでは<script>、<iframe>、<img>などの要素で外部サイトのコンテ ンツ埋め込みが許可されています。JavaScriptはインラインスクリプトはもちろん、 onclick などのイベント属性でも簡単に実行できます。 これは便利ではありますが、Ajax などに対する同一生成元ポリシーしか制限がないことで、クロスサイトスクリプティング(Cross Site Scripting:XSS)などの攻撃が容易になっているという側面もあります。そこで、Firefox 4からは新時代のセキュリティ ポリシーとして、コンテンツセキュリティポリシー(Content Security Policy:CSP)が 導入されました。
https://www.oreilly.co.jp/pub/9784873114972/FxHacksR__sample05.pdf
O'Reilly Japan - Firefox Hacks Rebooted

Googleタグマネージャーを使う場合のコンテンツセキュリティポリシーの設定 | 4番は司令塔

Content-Security-Policy (CSP)
CSP は Cross Site Scripting (XSS) や data injection 攻撃を防ぐための HTTP の仕様です。
CSP を有効にするには、以下のいずれかを実施します。
HTTP header で Content-Security-Policy を返す
meta タグで Content-Security-Policy を埋め込む
ApacheでContent Security Policy(CSP)を設定する - ハマログ 2016

nginx CSP

;で改行して表示
sed -e 's/;/;\n/g' /www/conf/nginx/snippets/security-header-csp.conf

差分
diff <(sed -e 's/;/;\n/g' security-header-csp.conf.old) <(sed -e 's/;/;\n/g' security-header-csp.conf)