"内容安全策略实践：CSP nonce/hash 与 strict-dynamic"

概述CSP 通过限制资源来源与执行方式减轻 XSS 风险。严格策略依靠 nonce/hash 验证与 `strict-dynamic` 传播信任，避免内联脚本与不安全评估行为。关键指令`script-src`：禁止内联并启用 `nonce-` 或 `sha256/384/512-`；配合 `strict-dynamic` 使受信根脚本加载的子脚本自动获得信任［参考1,4,5］。`unsafe-inline`/`unsafe-eval`：尽量避免；必要时以 nonce/hash 或 `wasm-unsafe-eval` 做精细控制［参考1,4］。部署建议：每个请求动态生成不可预测的 nonce；静态内容可用 hash；逐步兼容 CSP1/2/3 的差异［参考1,3,5］。注意事项Safari 某些版本在未设置同源策略时与 CSP 存在不兼容，应验证并调整响应头组合［参考2］。参考与验证［参考1］MDN：`script-src` 指令说明（nonce/hash、strict-dynamic 与兼容）：https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/script-src［参考2］MDN 中文：CSP 指南（兼容性与策略示例、Safari 注意事项）：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Guides/CSP［参考3］MDN 安全实践：严格 CSP 的实施指南（nonce/hash 取舍）：https://developer.mozilla.org/en-US/docs/Web/Security/Practical_implementation_guides/CSP［参考4］MDN：`script-src` 细节（unsafe-eval/wasm-unsafe-eval 与 strict-dynamic）：https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src［参考5］UDN：`script-src` 说明与 strict-dynamic 传播信任：https://udn.realityripple.com/docs/Web/HTTP/Headers/Content-Security-Policy/script-src关键词校验关键词围绕 CSP 指令与严格策略，与正文一致。