这仍然令人难以置信的混乱。我正在运行 Chrome 40，和你一样，我花了比我想弄清楚发生了什么要长得多的时间。

CSP 2 规范说明了散列 <script> 元素：

例如， SHA-256 摘要alert('Hello, world.');是YWIzOWNiNzJjNDRlYzc4MTgwMDhmZDlkOWI0NTAyMjgyY2MyMWJlMWUyNjc1ODJlYWJhNjU5MGU4NmZmNGU3OAo=.

我已经设法通过运行生成该哈希：

$ echo -n "alert('Hello, world.');" | openssl dgst -sha256 | base64
YWIzOWNiNzJjNDRlYzc4MTgwMDhmZDlkOWI0NTAyMjgyY2MyMWJlMWUyNjc1ODJlYWJhNjU5MGU4NmZmNGU3OAo=

但这在 Chrome 40 中不起作用。

CSP 的编辑草稿是这样说的：

例如， SHA-256 摘要alert('Hello, world.');是qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng=.

他们给出的示例是通过以下方式生成的：

$ echo -n "alert('Hello, world.');" | openssl dgst -sha256 -binary | base64
qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng=

在加入的-binary标志openssl是两个命令间的差别。

这在 Chrome 40（稳定版）和 Chrome Canary 中确实有效，但我相信它在 Firefox 36 中仍然存在问题。

更新：Chrome 发行版似乎不支持脚本哈希。我的测试仅适用于 Chrome Canary（使用时script-src，不是 default-src）

——

您应该尝试使用“script-src”而不是“default-src”（基于我对工作草案的快速阅读）

https://security.stackexchange.com/a/34998/41628

因此，看起来您所要做的（暂时，直到 Chrome 更新以反映 CSP 1.1 提案的状态更改）是将标头名称更改回 X-Content-Security-Policy。