lets-make-dev/laravel-security
GitHub: lets-make-dev/laravel-security
为 Laravel 应用提供开箱即用的现代安全头部解决方案,包含严格 CSP、SRI 子资源完整性和违规报告功能。
Stars: 0 | Forks: 0
# Laravel 安全
[](https://packagist.org/packages/make-dev/laravel-security)
[](https://packagist.org/packages/make-dev/laravel-security)
一个开箱即用的 Laravel 安全头包,提供 HSTS、Content Security Policy(支持每请求 nonce 和 `'strict-dynamic'`)、X-Content-Type-Options、Permissions-Policy 和子资源完整性的合理默认值 — 还包含用于接收 CSP 和 SRI 违规报告的第一方端点。支持 Laravel 11、12 和 13,PHP 8.2 – 8.5。
## 功能特性
- **Strict-Transport-Security (HSTS)** — 可配置 `max-age`、`includeSubDomains`、`preload`。
- **Content-Security-Policy** — 配置中的指令映射、可选的仅报告模式、多主机 CDN/资源域名注入、按路径排除。
- **严格 CSP(每请求 nonce + `'strict-dynamic'`)** — 绑定到每请求单例的自动生成 nonce、`@cspNonce` Blade 指令、可选的响应时自动注入到每个 `
```
供应商加载器(GTM、HubSpot、reCAPTCHA 等)需要同样的处理,以便 `'strict-dynamic'` 可以将信任扩展到它们注入的脚本:
```
```
对于通过 `{!! $block['html'] !!}` 渲染的 CMS 原始 HTML 输出(Filament Fabricator 的 `html` 块等),`auto_inject`(默认开启)会让 SRI 中间件为响应中任何还没有 nonce 的 `