Content-Security-Policy报告与strict-dynamic治理

Content-Security-Policy报告与strict-dynamic治理概览使用 `script-src` 的 `nonce`/`hash` 搭配 `strict-dynamic`，限制脚本信任链并防止不受控的动态加载。以 `Content-Security-Policy-Report-Only` 进行无损试运行，结合 `Report-To`/Reporting API 收集命中与误报。阻断回退与宽松策略（如 `unsafe-inline`），并治理第三方脚本来源与子资源完整性。技术参数（已验证）脚本：`Content-Security-Policy: script-src 'nonce-<random>' 'strict-dynamic' https:; object-src 'none'; base-uri 'none'`；至少包含一个 `nonce`/`hash` 才能激活 `strict-dynamic`。报告：`Content-Security-Policy-Report-Only: ...; report-to=csp-endpoint`；配合 `Report-To: { group: "csp-endpoint", max_age: 10800, endpoints: [{ url: "https://report" }] }`。继承：`strict-dynamic` 忽略静态白名单域；通过受信脚本的加载链传递信任。完整性：对第三方脚本使用 SRI `integrity` 与 `crossorigin`；避免混合内容与宽松通配符。兼容：旧浏览器不支持 Reporting API 时可回退 `report-uri`；逐步切换到 `Report-To`。实战清单为入口脚本注入一次性 `nonce`，启用 `strict-dynamic` 并移除 `unsafe-inline`。配置 `Report-Only` 观察命中与误报，收敛策略后再正式生效；治理第三方脚本与 SRI。建立仪表盘跟踪违规类型与来源，推动最小权限来源列表与发布流程。Importance: CSP 严格模式与报告闭环降低 XSS 面风险并支撑策略演进。