La directiva strict-dynamic de CSP cambia la forma de aplicar políticas de seguridad. En lugar de listar dominios permitidos, confía en scripts que fueron cargados por scripts legítimos.
Problema con listas blancas
Las listas de URLs permitidas son difíciles de mantener y pueden incluir CDNs comprometidas o bibliotecas con vulnerabilidades.
Cómo funciona strict-dynamic
Si un script tiene un nonce o hash válido, puede cargar otros scripts del mismo origen. La confianza se propaga del script inicial a sus dependencias.
Implementación
Content-Security-Policy: script-src 'strict-dynamic' 'nonce-RANDOM'
Cada solicitud genera un nonce único en el servidor. Los inline scripts llevan nonce="...".
Compatibilidad
strict-dynamic ignora listas blancas en navegadores modernos. Como fallback, provee una CSP tradicional para navegadores antiguos sin soporte.

