在CSP中限制可以执行的脚本，具体如下：

设置白名单：通过CSP的白名单机制，只允许加载来自可信源的脚本和资源。这要求开发者对网页内容的来源进行严格的审查和管理，确保所有资源都来自受信任的域或CDN。

使用nonce或hash属性：CSP允许使用nonce或hash属性对脚本进行标记，确保只有经过验证的脚本能够被执行。这样可以有效防止攻击者注入恶意脚本的情况。

哈希校验：CSP提供了hash功能，可以对脚本内容进行哈希值计算并与服务器端策略进行比对，进一步增强了脚本的安全性。

设置响应包头：例如设置Content-Security-Policy: default-src 'self'; script-src 'self' allowed.com; img-src 'self' allowed.com; style-src 'self';，这样只有来自当前域名和allowed.com的脚本才会被执行。

通过HTML元标签实现：在HTML头部添加相应的CSP规则，如<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' allowed.com;">，这样可以在不改变服务器配置的情况下应用CSP策略。

总的来说，通过上述方法，可以在CSP中有效地限制可以执行的脚本，从而降低XSS攻击的风险，提高Web应用的安全性。