Subresource Integrity（SRI）实战指南：防第三方资源污染

概述SRI 通过在 `<script>/<link>` 上添加 `integrity` 哈希值，强制浏览器校验资源内容指纹；指纹不匹配时加载失败，防止 CDN 或第三方被入侵后下发恶意代码。实施要点（已验证）哈希生成：使用 `sha256/384/512`，随构建生成并与版本绑定（来源）跨域：为跨域资源设置 `crossorigin="anonymous"` 以启用 SRI 校验（来源）版本策略：资源更新需同步更新 `integrity`；缓存策略避免旧哈希与新内容不一致结合 CSP在启用 `strict-dynamic`/`nonce` 的同时，为静态外链保留 SRI 校验，形成多层防护