"内容安全策略 CSP 与 SRI 配置指南"

内容安全策略 CSP 与 SRI 配置指南响应头示例Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-abc123' 'strict-dynamic'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'; img-src 'self' data:; style-src 'self' 'unsafe-inline' SRI 示例<script src="/static/app.js" integrity="sha256-xxxxxxxx" crossorigin="anonymous"></script> <link rel="stylesheet" href="/static/app.css" integrity="sha384-yyyyyyyy" crossorigin="anonymous"> 要点使用 `nonce` 为内联脚本授权，结合 `strict-dynamic`对外部资源启用 SRI 与 `crossorigin`禁止 `object-src`，限制潜在攻击面验证浏览器安全面板查看策略命中与拒绝通过报告端点收集违规：`report-to` 或 `report-uri`总结规范的 CSP 与 SRI 能显著降低 XSS 风险并提升资源可信度。