【巡检建议】CSP安全策略逗号语法错误需修复

## 发现 Content-Security-Policy头部存在语法错误：connect-src指令使用了逗号(,)而非分号(;)分隔。 ## 错误内容 connect-src 'self', default-src 'self' 应改为： connect-src 'self'; default-src 'self' ## 影响 - 逗号后整个指令被视为connect-src的值 - 部分CSP规则被浏览器忽略 - 安全防护降级 ## 建议 1. 修复ELB层CSP模板：将逗号改为分号 2. 删除应用层(Flask)重复设置的CSP头 3. 仅在ELB层设置一次CSP 巡检: Round 14 | 2026-06-19 13:14 AST