解读

在国内前端面试里，**“nonce 动态生成”**常被当作“安全+构建”交叉题。面试官真正想听的是：

1. 你能否把**一次性随机数（nonce）**无缝注入到 HTML/JS/CSS 资源引用里，满足 CSP 白名单要求；
2. 你能否利用 Grunt 插件体系把“生成→替换→校验”做成一条自动化链路，而不是手动改模板；
3. 你能否兼顾缓存、多页应用、CDN 回源等国内真实场景，给出可落地的工程化方案。
   答不到“构建层闭环”，就会被判为“只懂概念”。

知识点

• nonce 本质：128 bit 以上密码学安全随机数，每次构建唯一，写入 CSP 响应头与标签属性。
• Grunt 任务模型：initConfig 里注册多任务，通过 files 数组做“输入→中间态→输出”管道。
• grunt-contrib-copy / grunt-replace / grunt-string-replace：负责把占位符替换成真实 nonce。
• crypto.randomBytes()：Node 原生模块，国内云主机必须/dev/urandom 可用，否则退化为 uuid+v4 方案。
• 多页应用：需与 grunt-usemin、grunt-filerev 配合，保证文件名带 hash 的同时 nonce 也能注入。
• CSP 上报：国内常用腾讯云 CSP 上报接口或阿里云日志服务，需在 Grunt 任务里把违规日志聚合并报警。
• 缓存策略：nonce 每次构建会变，必须关闭 html 的强缓存，但静态资源仍可用 304，避免 CDN 流量浪费。

答案

1. 安装依赖

npm i -D grunt grunt-contrib-copy grunt-string-replace crypto

2. 在 Gruntfile.js 里定义“先生成、后替换”两条任务

module.exports = function(grunt) {
  // 1. 生成阶段：为每个入口 HTML 产生独立 nonce
  grunt.registerTask('gen-nonce', function() {
    const crypto = require('crypto');
    const nonce  = crypto.randomBytes(16).toString('base64');
    grunt.config.set('nonceVal', nonce);          // 缓存到配置
    grunt.file.write('.tmp/nonce.txt', nonce);    // 供后续任务读取
  });

  // 2. 替换阶段：把 @@nonce@@ 占位符换成真实值
  grunt.config.init({
    'string-replace': {
      dist: {
        files: [{
          expand: true,
          cwd: 'src/',
          src: '*.html',
          dest: 'dist/'
        }],
        options: {
          replacements: [{
            pattern: /@@nonce@@/g,
            replacement: () => grunt.config.get('nonceVal')
          }]
        }
      }
    }
  });

  grunt.loadNpmTasks('grunt-string-replace');

  // 3. 串联任务
  grunt.registerTask('default', ['gen-nonce', 'string-replace']);
};

3. 在 HTML 模板里预留占位

<script nonce="@@nonce@@" src="app.js"></script>

4. 若需把 nonce 同步写入 HTTP 头，可在构建后钩子里用 grunt-contrib-connect 的 middleware 读取 .tmp/nonce.txt 并设置

res.setHeader('Content-Security-Policy', `script-src 'nonce-${nonce}' 'self'; object-src 'none'`);

5. 上线前用 grunt-csp 插件做本地违规扫描，确保没有内联脚本被遗漏。

拓展思考

• 同构场景：若团队使用Next.js 或 Nuxt 做 SSR，Grunt 只负责静态资源，nonce 需在 Node 层每次请求重新生成，此时应把 Grunt 任务降级为“预置占位”，真正注入放在服务端渲染模板，避免构建时写死。
• 微前端：主子应用跨 CDN，需保证子应用构建时把 nonce 通过 window.NONCE 暴露，主应用读取后动态创建 script 标签，否则子应用独立上线会 CSP 报错。
• 灰度发布：国内大厂常用蓝绿 + 滚动混合策略，nonce 文件需打入OSS 元数据，供边缘节点回源时统一响应头，避免版本错位导致白屏。
• 合规审计：网信办要求留存 6 个月 CSP 违规日志，可在 Grunt 任务末尾加一步“把 nonce 值与 git commit id 一起写入 dist/manifest.json”，方便后续溯源。