Service Worker 返回包​​含 nonce 的缓存 CSP 标头是否安全？

主要问题不在于生成 nonce 的安全性，而在于无法应用 service worker 生成的 nonce（至少我没有看到）。

据我所知，缓存页面不会存储 HTTP 标头，因此当从缓存中恢复页面时，将忽略 CSP HTTP 标头。将元标记添加到缓存页面中（如果技术上可行的话）会导致它只交付一个 CSP，因此它应该可以按预期工作。

另一方面，如果您添加/删除/更改 <meta http-equiv='Content-Security-Policy' content=''> 元标记，浏览器会记住并应用所有以前的策略，请参阅测试。因此，您一次只能拥有多个 CSP。
您需要重新加载页面以清除浏览器“内存”，这是 SPA 与 CSP 的主要问题。

但是通过脚本修改缓存页面时的浏览器行为，需要另外检查。 AFAIK 有一种方法可以通过缓存页面绕过 CSP 和 nonce。

更新

在某些情况下，您可以对 Firefox 和 Safari 中的外部脚本哈希使用变通方法。您可以使用内联脚本加载外部脚本，如下所示：

var external = document.createElement("script");
external.src = "http://example.com/script.js"
external.setAttribute("type","text/javascript");
document.head.appendChild(external);

var external2 = document.createElement("script");
external2.src = "http://example.com/script2.js"
external2.setAttribute("type","text/javascript");
document.head.appendChild(external2);

上面的内联脚本可以通过 'hash-value' 与 'strict-dynamic' 配对使用（它是 Google 的 strict CSP 的变体）：

script-src 'sha256-hash_of_inline_script' 'strict-dynamic' https:

'strict-dynamic' 令牌确实允许加载由合法内联脚本加载的任何脚本。
Safari 不支持 'strict-dynamic'，因此它将使用 https: 方案源来允许外部脚本。
Chrome 和 Firefox 确实支持 'strict-dynamic'，因此 https: 将被忽略。

是的，Safari 用户的安全性会降低，但您可以使用真实的主机源 (https://example.com https://CDN.com) 而不是 http:。