CSP与Subresource Integrity：前端资源加载安全治理

CSP与Subresource Integrity：前端资源加载安全治理概览CSP 控制资源来源与执行策略；SRI 校验外链资源的哈希完整性，两者协同防止注入与篡改。建立 `nonce`/`hash` 与最小来源白名单，配合报告与审计闭环。技术参数（已验证）指令：`default-src`、`script-src`（含 `'nonce-...'`/`'sha256-...'`/`strict-dynamic'`）、`style-src`、`img-src`、`connect-src`、`frame-ancestors`。SRI：在 `<script>`/`<link>` 上设置 `integrity="sha256-..."` 与 `crossorigin="anonymous"`；浏览器校验哈希不匹配则拒绝加载。报告：`report-to`/`report-uri` 收集违规；结合监控平台进行聚合分析。内联限制：禁用 `unsafe-inline` 与 `unsafe-eval`；对必须的内联脚本使用每次请求随机 `nonce`。Clickjacking：通过 `frame-ancestors` 控制嵌入来源；替代传统 `X-Frame-Options`。实战清单建立严格的来源白名单与 `nonce` 机制；对第三方外链统一 SRI 管理。启用报告并迭代策略；在发布中自动生成与校验哈希。对异常与违规进行告警与阻断；维护策略变更台账。