---

title: Content-Security-Policy报告与strict-dynamic治理

keywords:

• CSP
• strict-dynamic
• nonce
• Report-To
• CSPRO

description: 通过 nonce+strict-dynamic 的脚本治理与报告管道（Report-To/Report-Only），降低 XSS 风险并建立可观测的策略演进。

categories:

• 文章资讯
• 技术教程

---

Content-Security-Policy报告与strict-dynamic治理

概览

• 使用 script-src 的 nonce/hash 搭配 strict-dynamic，限制脚本信任链并防止不受控的动态加载。
• 以 Content-Security-Policy-Report-Only 进行无损试运行，结合 Report-To/Reporting API 收集命中与误报。
• 阻断回退与宽松策略（如 unsafe-inline），并治理第三方脚本来源与子资源完整性。

技术参数（已验证）

• 脚本：Content-Security-Policy: script-src 'nonce-<random>' 'strict-dynamic' https:; object-src 'none'; base-uri 'none'；至少包含一个 nonce/hash 才能激活 strict-dynamic。
• 报告：Content-Security-Policy-Report-Only: ...; report-to=csp-endpoint；配合 Report-To: { group: "csp-endpoint", max_age: 10800, endpoints: [{ url: "https://report" }] }。
• 继承：strict-dynamic 忽略静态白名单域；通过受信脚本的加载链传递信任。
• 完整性：对第三方脚本使用 SRI integrity 与 crossorigin；避免混合内容与宽松通配符。
• 兼容：旧浏览器不支持 Reporting API 时可回退 report-uri；逐步切换到 Report-To。

实战清单

• 为入口脚本注入一次性 nonce，启用 strict-dynamic 并移除 unsafe-inline。
• 配置 Report-Only 观察命中与误报，收敛策略后再正式生效；治理第三方脚本与 SRI。
• 建立仪表盘跟踪违规类型与来源，推动最小权限来源列表与发布流程。
• Importance: CSP 严格模式与报告闭环降低 XSS 面风险并支撑策略演进。