Content Security Policy (CSP) es esencial para la seguridad. Hugo 2026 ofrece nuevas capacidades para integrar CSP sin sacrificar funcionalidad.
CSP en sitios estáticos
Los sitios estáticos tienen menos vectores de ataque pero aún necesitan CSP para scripts de terceros, analytics y widgets embebidos.
Generación de nonces
Hugo puede generar nonces únicos por build para scripts inline. Configuración via template functions. Integración con partials.
Hash para scripts estáticos
Calcula hashes SHA de scripts embebidos. Incluye en la cabecera CSP. Hugo puede automatizar esto con pipe functions.
Implementación práctica
CSP estricto con strict-dynamic. Nonce para scripts inline. Hash para recursos estáticos. Report-Only durante transición.

