导读

外贸独立站几乎每个页面都接入了大量第三方 SDK——Google Analytics/GA4、Facebook Pixel、TikTok Pixel、Hotjar、Intercom、Klaviyo 邮件、各类联盟广告 SDK、A/B 测试 SDK、客服 IM SDK、支付 SDK。这些 SDK 都是直接以 ``。integrity 值通常用 sha384 或 sha512 算法生成（不要用 sha256 已被认为强度不足）。生成命令：`openssl dgst -sha384 -binary lib.js | openssl base64 -A`。

SRI 的工程化挑战：① 第三方 SDK 文件经常自动更新，SRI 哈希需要同步更新——这要求建立 SDK 版本管理机制；② 部分 SDK 厂商动态生成 JS（每次返回不同内容），无法用 SRI——这类 SDK 必须用其它防护手段（如 CSP）；③ SRI 失败时浏览器静默不加载，没有报错追踪——必须配合错误监控才能发现 SDK 加载失败。

邦赢网络的客户落地建议：① 所有静态 SDK（jQuery/Bootstrap/Lodash 等版本固定的库）必须加 SRI；② 动态 SDK（GA/FB Pixel 等动态生成）必须用 CSP 限制能加载的域名；③ 建立 SDK 清单（维护所有引入的第三方 JS 文件 + 版本 + SRI 哈希，纳入 Git 仓库）；④ 每月扫描一次 SDK 是否被悄悄替换。

三、Content Security Policy（CSP）：脚本来源的强制白名单

CSP（Content Security Policy）是 HTTP 响应头机制，强制约束页面能加载哪些资源、能执行哪些脚本。通过 CSP，即使攻击者成功在你页面注入 `