# Cloudflare Pages 响应头（同官网管线）。严格 CSP + 安全基线。
# 说明（取舍）：纯静态导出无服务端，无法下发 nonce；Next 会注入少量内联
# bootstrap 脚本，故 script-src 保留 'unsafe-inline'，并用 SRI（构建期注入 integrity）
# 为自有 chunk 提供完整性校验。style-src 因设计稿大量内联样式同样需要 'unsafe-inline'。
/*
  Content-Security-Policy: default-src 'self'; base-uri 'none'; object-src 'none'; frame-ancestors 'none'; form-action 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.com; img-src 'self' data:; connect-src 'self' https:; manifest-src 'self'; upgrade-insecure-requests
  X-Content-Type-Options: nosniff
  Referrer-Policy: strict-origin-when-cross-origin
  X-Frame-Options: DENY
  Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()
  Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
