CSP样式策略治理（style-src nonce/hash）最佳实践

背景与价值 样式内联易被滥用。使用nonce或哈希可在保证功能的同时提升安全。 统一规范 - 禁用unsafe-inline：统一移除style-src中的unsafe-inline。 - 使用nonce：为受控内联样式分配nonce并插入。 - 哈希支持：对固定样式片段使用sha256哈希。 核心实现 CSP头与nonce生成 ```ts type Res = { setHeader: (k: string, v: string) => void } function genNonce(): string { const u = new Uint8Array(16); crypto.getRandomValues(u); let s=''; for (let i=0;i