---

title: CSP与Subresource Integrity：前端资源加载安全治理

keywords:

• CSP
• Subresource Integrity
• SRI
• script-src
• nonce

description: 通过内容安全策略与子资源完整性保护前端资源加载，阻断脚本注入与篡改，建立可审计的安全基线。

categories:

• 文章资讯
• 技术教程

---

CSP与Subresource Integrity：前端资源加载安全治理

概览

• CSP 控制资源来源与执行策略；SRI 校验外链资源的哈希完整性，两者协同防止注入与篡改。
• 建立 nonce/hash 与最小来源白名单，配合报告与审计闭环。

技术参数（已验证）

• 指令：default-src、script-src（含 'nonce-...'/'sha256-...'/strict-dynamic'）、style-src、img-src、connect-src、frame-ancestors。
• SRI：在 <script>/<link> 上设置 integrity="sha256-..." 与 crossorigin="anonymous"；浏览器校验哈希不匹配则拒绝加载。
• 报告：report-to/report-uri 收集违规；结合监控平台进行聚合分析。
• 内联限制：禁用 unsafe-inline 与 unsafe-eval；对必须的内联脚本使用每次请求随机 nonce。
• Clickjacking：通过 frame-ancestors 控制嵌入来源；替代传统 X-Frame-Options。

实战清单

• 建立严格的来源白名单与 nonce 机制；对第三方外链统一 SRI 管理。
• 启用报告并迭代策略；在发布中自动生成与校验哈希。
• 对异常与违规进行告警与阻断；维护策略变更台账。