嘿，看起来你碰到了CSP（内容安全策略）的典型限制问题——这也是为啥禁用CSP扩展后jQuery就正常工作的原因。我来给你拆解下解决方案：

1. 先解决外部jQuery脚本被拦截的问题 #

你当前的CSP规则里script-src只设置了'self'，这会阻止加载外部CDN的jQuery文件。要修复这个，你需要把jQuery的CDN域名添加到script-src的允许列表里：

<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://ajax.aspnetcdn.com;">

这样浏览器就会允许加载https://ajax.aspnetcdn.com/ajax/jQuery/jquery-3.4.1.min.js这个脚本了。

2. 处理内联脚本被拦截的问题 #

控制台里的内联脚本报错，是因为CSP默认禁止执行内联脚本，你有三个可选方案（按安全优先级排序）：

方案一：使用Nonce（最安全推荐） #

Nonce是一个每次请求随机生成的字符串，你需要在服务器端（Velocity模板里）生成它，然后同时添加到CSP规则和内联脚本标签上：

• 首先在CSP meta标签里添加nonce：

  <meta http-equiv="Content-Security-Policy" content="script-src 'self' https://ajax.aspnetcdn.com 'nonce-{{randomNonce}}';">
  

  这里{{randomNonce}}是你用Velocity生成的随机字符串（比如用UUID工具生成）。
• 然后给所有内联script标签加上对应的nonce属性：

  <script nonce="{{randomNonce}}">
    // 你的内联jQuery代码
  </script>
  

  注意：nonce必须每次请求都重新生成，不能固定值，否则会失去安全防护的意义。

方案二：使用哈希值（适合固定的内联脚本） #

如果你的内联脚本内容是固定不变的，可以直接用控制台报错里给出的哈希值，把它添加到script-src里。比如控制台提示某个内联脚本的哈希是'sha256-abc123xyz'，那修改后的CSP规则就是：

<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://ajax.aspnetcdn.com 'sha256-abc123xyz' 'sha256-def456uvw';">

每个被拦截的内联脚本都要对应添加它的哈希值，控制台里的报错信息已经给出了正确的哈希，直接复制粘贴就行。

方案三：添加'unsafe-inline'（仅测试环境临时用） #

如果只是临时测试，不想折腾nonce或哈希，可以在script-src里添加'unsafe-inline'，但这会大幅降低CSP的安全防护能力，不建议在生产环境使用：

<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://ajax.aspnetcdn.com 'unsafe-inline';">

3. 为啥本地加载jQuery只解决第一个错误？ #

本地加载jQuery只是解决了外部脚本被拦截的问题，但内联脚本的CSP限制仍然存在，所以还是会出现内联脚本的报错——你需要同时处理上面的内联脚本规则，才能彻底解决所有问题。

内容的提问来源于stack exchange，提问作者George Marshall