Featured image of post Hugo 2026: Mejores prácticas con CSPFeatured image of post Hugo 2026: Mejores prácticas con CSP

Hugo 2026: Mejores prácticas con CSP

Constructing compliant, secure HTTP headers balancing analytics, advertisement tags, and asset safety.

Content Security Policy (CSP) es esencial para la seguridad. Hugo 2026 ofrece nuevas capacidades para integrar CSP sin sacrificar funcionalidad.

CSP en sitios estáticos

Los sitios estáticos tienen menos vectores de ataque pero aún necesitan CSP para scripts de terceros, analytics y widgets embebidos.

Generación de nonces

Hugo puede generar nonces únicos por build para scripts inline. Configuración via template functions. Integración con partials.

Hash para scripts estáticos

Calcula hashes SHA de scripts embebidos. Incluye en la cabecera CSP. Hugo puede automatizar esto con pipe functions.

Implementación práctica

CSP estricto con strict-dynamic. Nonce para scripts inline. Hash para recursos estáticos. Report-Only durante transición.