内容安全策略 CSP 与子资源完整性 SRI

概述内容安全策略（CSP）通过白名单和执行策略限制脚本与资源来源；子资源完整性（SRI）使用哈希校验静态资源是否被篡改，两者协同提升前端安全性。已验证技术参数基线策略：`Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-<random>'; object-src 'none'`推荐使用 `nonce` 或 `sha256-<hash>` 而非 `unsafe-inline`SRI 需同时设置 `integrity="sha256-..."` 与 `crossorigin="anonymous"`通过 `report-to`/`report-uri` 上报策略违规事件，支持调优与取证实践示例Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-abc123'; object-src 'none'; report-to csp-endpoint <script nonce="abc123">/* 内联脚本在策略内可执行 */</script> <link rel="stylesheet" href="/styles.css" integrity="sha256-Base64Hash" crossorigin="anonymous" /> 落地建议先启用 `Content-Security-Policy-Report-Only` 收集违规数据，再逐步强制对第三方脚本分级与限域；评估依赖必要性与风险面结语以 CSP/SRI 构建前端防线能有效降低 XSS 与供应链风险。策略落地需结合监控与迭代优化。