打开nginx.conf文件，找到对应的location模块，

X-XSS-Protection 的字段有三个可选配置值，说明如下：

0： 表示关闭浏览器的XSS防护机制
1：删除检测到的恶意代码， 如果响应报文中没有看到X-XSS-Protection 字段，那么浏览器就认为X-XSS-Protection配置为1，这是浏览器的默认设置
1; mode=block：如果检测到恶意代码，在不渲染恶意代码

location模块新增如下配置信息，

location / {

add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1;mode=block";
add_header Content-Security-Policy "default-src 'self' fintest.cmbchina.cn fintest.cmburl.cn tcexam.cmbchina.cn 'unsafe-inline' 'unsafe-eval'; img-src * blob: *;";  

}

修改后保存，切换到sbin目录，进行reload

./nginx -s reload

img-src * blob: *; 这个配置是解决blob:http://路径图片csp拦截无法 显示问题的