在 html 页面的 head 区域加入以下代码:

<meta http-equiv="Content-Security-Policy"
    content="script-src 'self' data: 'unsafe-eval' 'unsafe-inline'; frame-src 'self'" />

其实也就是定义csp的头, 一般来说, 我们只要限制 script 和 iframe 就好了...加入上面的代码后, 网站内被加入非本站域名下的 js 文件, 就不被执行, 如果你有用 cdn, 那么可以把 cdn 的域名加入上面的白名单, 如:

<meta http-equiv="Content-Security-Policy"
    content="script-src 'self' data: 'unsafe-eval' 'unsafe-inline' http://*.baidu.com; frame-src 'self'" />