当CSP遇上K8S：我在Ingress-Nginx中踩过的3个安全配置大坑

当CSP遇上K8S：我在Ingress-Nginx中踩过的3个安全配置大坑

深夜的告警短信总是格外刺眼——安全团队刚发来的审计报告显示，我们精心设计的SPA应用竟存在XSS漏洞。作为团队的技术负责人，我盯着报告里"Content-Security-Policy配置缺陷"的红色标记，意识到这可能是K8S集群中那些被忽略的Ingress-Nginx配置细节在作祟。接下来72小时的紧急修复之旅，让我收获了三个血泪教训。

1. script-src-elem：那个被遗忘的守卫

凌晨两点的第一杯咖啡已经见底，我反复检查着看似完美的CSP配置：

add_header Content-Security-Policy "default-src 'self'; script-src 'nonce-$csp_nonce' 'strict-dynamic'";

但安全扫描器依然报告<script src="恶意域名">可以绕过防护。直到翻阅MDN文档才发现，现代浏览器对动态加载脚本的处理存在特殊规则：