静态资源（如JS、CSS、图片）常被忽视，却是攻击入口。核心防护策略如下：首先，启用内容安全策略（CSP），通过HTTP头限制脚本来源，防止XSS注入。其次，为所有静态文件设置哈希完整性校验（SRI），确保资源未被篡改，浏览器仅加载哈希匹配的文件。第三，部署子资源完整性检查，结合CDN分发时验证签名。另外，禁用目录列表，避免敏感文件泄露；使用防盗链机制，仅允许信任域名引用资源。最后，定期扫描静态资源中是否嵌入恶意代码，并利用版本号或指纹实现缓存更新，防止旧漏洞被利用。通过多层防御，能有效降低静态资源被劫持或污染的风险。_黑客教你查询