connect-src : WebSocket, XHR, EventSource
font-src : https://themes.googleusercontent.com //fontları sadece ordan alabilir
frame-src: https://youtube.com //frame sadece youtube olabilir.
img-src : * -Her şeye izin ver- // self yazarsan sadece kendi resimleni alır
media-src : *.site.com // mediayi kendi domaninde izin ver
object-src : self // flash vb
script-src : ‘self’ ‘unsafe-eval’ ‘unsafe-inline’ //kendi için evala izin verme
style-src : self

Şeklinde headerda (X-WebKit-CSP) gönderilen güvenlik bilgileridir. Bunlar tarayıcı tarafından uygulanır.