\n\n\n\n\n```\n\n### 2. Style-src — CSS стили\n\nКонтролирует источники CSS файлов и inline стилей:\n\n```html\nContent-Security-Policy: style-src 'self' https://fonts.googleapis.com 'unsafe-inline'\n```\n\n**Примеры:**\n- `'self'` — CSS файлы с этого домена\n- `https://fonts.googleapis.com` — Google Fonts\n- `'unsafe-inline'` — inline стили в HTML (⚠️ опасно)\n- `'unsafe-hashes'` — хеш для inline стилей\n\n### 3. Img-src — изображения\n\nКонтролирует источники изображений:\n\n```html\nContent-Security-Policy: img-src 'self' https: data:\n```\n\n**Значения:**\n- `'self'` — изображения с этого домена\n- `https:` — любые HTTPS изображения\n- `data:` — встроенные data URL изображения\n- `blob:` — blob URL\n\n### 4. Font-src — шрифты\n\nКонтролирует источники веб-шрифтов:\n\n```html\nContent-Security-Policy: font-src 'self' https://fonts.gstatic.com data:\n```\n\n### 5. Connect-src — сетевые запросы\n\nКонтролирует источники для fetch, XMLHttpRequest, WebSocket, etc.:\n\n```html\nContent-Security-Policy: connect-src 'self' https://api.example.com wss://socket.example.com\n```\n\n**Включает:**\n- `fetch()`\n- `XMLHttpRequest`\n- `WebSocket`\n- Beacon API\n- EventSource\n\n### 6. Media-src — аудио и видео\n\nКонтролирует источники аудио и видео файлов:\n\n```html\nContent-Security-Policy: media-src 'self' https://video.example.com\n```\n\n### 7. Object-src — встроенные объекты\n\nКонтролирует ``, ``, `` теги:\n\n```html\nContent-Security-Policy: object-src 'none'\n```\n\n**Примечание:** рекомендуется устанавливать на `'none'` для безопасности.\n\n### 8. Frame-src — фреймы\n\nКонтролирует источники для `