嘿，我完全理解你不想用unsafe-inline的心情——毕竟那会直接削弱CSP的安全防护能力。你的问题核心很明确：虽然已经允许了self和jQuery的CDN源，但页面里肯定存在**内联脚本（或内联事件处理逻辑）**被CSP拦截了，而unsafe-inline只是绕过了这个限制而已。下面给你一步步的合规解决方案：

第一步：定位被拦截的内联内容 #

先打开浏览器开发者工具（Chrome按F12），切换到「Console」面板，你会看到类似这样的错误提示：

Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self' https://code.jquery.com". Either the 'unsafe-inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required to enable inline execution.

这个错误会精准告诉你是哪段内联内容被阻止了——可能是页面里的<script>...</script>代码块，也可能是onclick="xxx"这类内联事件属性。

第二步：用安全方式授权内联脚本 #

不用unsafe-inline的话，有两种合规的替代方案：脚本哈希或者Nonce（一次性随机值）。

方式1：使用脚本哈希 #

计算你那段内联脚本内容的SHA-256/384/512哈希值，然后把哈希加到script-src的规则里：

• 比如你的内联脚本是：

  $(function() {
      $('#myBtn').click(function() {
          alert('操作成功');
      });
  });
  

• 计算它的SHA256哈希（可以用在线工具，或者本地用openssl命令：echo -n "你的脚本内容" | openssl dgst -sha256 -binary | base64）
• 修改CSP配置：

  <add name="Content-Security-Policy" value="default-src 'self'; script-src 'self' https://code.jquery.com 'sha256-你的哈希值'" />
  

  注意哈希值必须用单引号包裹。

方式2：使用Nonce（更适合动态页面） #

Nonce是每个请求生成的随机值，比哈希更灵活，适配ASP.NET MVC这类动态渲染场景：

1. 创建ActionFilter生成Nonce：

   public class CspNonceFilter : ActionFilterAttribute
   {
       public override void OnActionExecuting(ActionExecutingContext filterContext)
       {
           // 生成安全的随机Nonce值
           var nonceBytes = new byte[16];
           using (var rng = System.Security.Cryptography.RandomNumberGenerator.Create())
           {
               rng.GetBytes(nonceBytes);
           }
           var nonce = Convert.ToBase64String(nonceBytes);
           
           // 把Nonce存入HttpContext，供视图调用
           filterContext.HttpContext.Items["CspNonce"] = nonce;
           
           // 设置CSP响应头
           filterContext.HttpContext.Response.Headers.Add(
               "Content-Security-Policy",
               $"default-src 'self'; script-src 'self' https://code.jquery.com 'nonce-{nonce}'"
           );
           
           base.OnActionExecuting(filterContext);
       }
   }
   

2. 注册Filter：
   可以在Global.asax的Application_Start里全局注册，或者给特定Controller/Action加上[CspNonceFilter]特性。
3. 在视图中使用Nonce：
   给内联脚本标签加上nonce属性：

   <script nonce="@HttpContext.Current.Items["CspNonce"]">
       $(function() {
           // 你的内联脚本代码
       });
   </script>
   

第三步：处理内联事件处理程序 #

如果报错是因为onclick="doSomething()"这类内联事件，需要把事件绑定逻辑移到外部脚本文件中：

• 移除HTML里的内联事件：

  <button id="myBtn">点击操作</button>
  

• 在外部脚本中绑定事件：

  $(function() {
      $('#myBtn').click(function() {
          doSomething();
      });
  });
  

第四步：验证jQuery CDN的有效性 #

最后确认jQuery的请求源是否确实是https://code.jquery.com——部分CDN会有重定向行为，若重定向到其他域名，需要把该域名也加入script-src列表。可以在浏览器「Network」面板查看jQuery的请求URL，确认源是否在允许范围内。

最佳实践 #

尽量把所有脚本都迁移到外部.js文件中，这是CSP最推荐的安全做法，既能保证防护效果，也能让代码更易于维护。只有在实在无法避免内联脚本时，再用哈希或Nonce的方式授权。

内容的提问来源于stack exchange，提问作者Stevkovski