"第三方脚本与依赖风险治理（Subresource与外部资源）最佳实践"

第三方脚本与依赖风险治理（Subresource与外部资源）最佳实践概述对外部资源实施来源允许、完整性校验与运行时隔离，可显著降低篡改与投毒风险。SRI与来源策略<script src="https://cdn.example/js/lib.min.js" integrity="sha384-Base64Hash" crossorigin="anonymous"></script> CSP约束Content-Security-Policy: script-src 'self' https://cdn.example; require-trusted-types-for 'script' 运行时安全加载function loadScript(url: string, integrity: string, nonce?: string): Promise<void> { return new Promise((resolve, reject) => { const s = document.createElement('script') s.src = url s.integrity = integrity s.crossOrigin = 'anonymous' if (nonce) s.setAttribute('nonce', nonce) s.onload = () => resolve() s.onerror = () => reject(new Error('load_failed')) document.head.appendChild(s) }) } 沙箱隔离<iframe src="/third-party.html" sandbox="allow-scripts allow-same-origin"></iframe> 运维要点对外部域名与路径建立允许名单与版本锁定在CI对SRI哈希与CSP策略进行校验与更新第三方功能优先以iframe沙箱与消息通道集成通过完整性校验与策略约束，可在不牺牲功能的前提下稳健治理第三方脚本风险。