概述`script-src` 的 `nonce-...`/`hash-...` 与 `strict-dynamic` 可以构成“受信入口 + 动态继承”的脚本安全模型:仅带有有效 nonce/hash 的初始脚本被允许,后续通过受信脚本动态插入的脚本也可执行,且忽略域白名单。关键点(已验证)nonce/hash:为内联或特定外链脚本赋予一次性或固定指纹许可,阻止任意内联执行(来源)strict-dynamic:受信入口脚本动态加载的脚本继承信任,域白名单不再必要,从而减少维护复杂度与绕过面(来源)交互影响:启用后应移除 `unsafe-inline` 与宽泛的 `https:` 白名单,转向入口脚本模型(来源)实施建议入口脚本:为应用主包注入 `nonce`,其余脚本由入口动态加载(import 或 DOM 注入)兼容测试:验证第三方库的动态注入路径是否受入口脚本触发,避免阻断报告与调试:启用 `Content-Security-Policy-Report-Only` 收集违例,逐步收紧策略配置示例Content-Security-Policy: script-src 'strict-dynamic' 'nonce-<random_base64>' 'report-sample'; object-src 'none'; base-uri 'none';
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复