嘿，这个问题我在项目里碰到过好多次，完全不用一个个手动加哈希值那么折腾，给你几个更高效的解决思路：

• 优先推荐：把内联样式迁移到外部CSS文件
  这是最符合CSP安全设计的方案，也是长期维护最省心的做法。把所有元素的style属性内容、以及页面内的<style>标签代码，全部移到单独的.css文件中，然后通过<link rel="stylesheet" href="/path/to/your.css">引入。因为你的CSP已经设置了default-src 'self'，同源的外部CSS会被允许加载，彻底解决内联样式的报错问题。

• 临时应急：使用'unsafe-inline'（谨慎使用）
  如果暂时没时间重构样式代码，可以在CSP头里补充style-src 'self' 'unsafe-inline';，覆盖default-src的限制。但要注意：这个选项会允许所有内联样式，大幅降低CSP的安全防护能力，只适合内部测试环境或者临时修复，不建议在公开生产环境中使用。

• 更安全的折中方案：使用Nonce（随机数）
  比哈希更便捷，安全性也远高于'unsafe-inline'。具体步骤：

  1. 每次请求生成一个唯一的随机字符串（比如用服务器端代码生成，比如Node.js里的crypto.randomBytes(16).toString('hex')），作为nonce值；
  2. 在CSP头中设置：style-src 'self' 'nonce-你的随机nonce值';；
  3. 在页面所有内联<style>标签上添加nonce属性，比如：<style nonce="你的随机nonce值">/* 内联样式代码 */</style>。
     这样CSP只会允许带有匹配nonce值的内联样式，不用逐个计算哈希，而且nonce是每次请求动态生成的，攻击者很难复用，安全性有保障。

总结一下：如果能重构样式，优先选外部CSS；如果需要保留内联样式，优先用Nonce；'unsafe-inline'只作为最后的临时选项。

内容的提问来源于stack exchange，提问作者Joe Defill