HTML nonce 属性

HTML 随机数属性是一个全局内容属性，它定义了一个加密随机数（“数字使用一次”）。内容安全策略使用它（它是一个额外的安全层，有助于检测和减轻某些类型的攻击，如数据注入攻击）来检查是否允许对给定元素进行给定的提取。通常，nonce 属性指定了告知浏览器某些样式元素或特定/特定脚本的内联内容不是由第三方注入到文档中，而是由控制服务器的任何人有意放入文档中的方式。文件送达。

它允许列出特定元素，例如一些特定的内联脚本或样式元素。它有助于避免使用允许列出所有内联样式的 CSP unsafe-inline 指令。

nonce 属性的使用

要使用 none，请为 script 标签提供 nonce 属性。 nonce 属性的值必须与可信源列表中的一个匹配。

例子 ：

现在需要将这个 nonce 添加到我们的 script-src 指令中，并附加到 nonce- 关键字。

Content-Security-Policy: script-src 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa'

支持的浏览器：

• 谷歌浏览器 30.0
• 火狐13.0
• 微软边缘 18.0
• 歌剧 12.0
• Safari 1.0