📜  HTML nonce 属性

📅  最后修改于: 2022-05-13 01:56:55.174000             🧑  作者: Mango

HTML nonce 属性

HTML 随机数属性是一个全局内容属性,它定义了一个加密随机数(“数字使用一次”)。内容安全策略使用它(它是一个额外的安全层,有助于检测和减轻某些类型的攻击,如数据注入攻击)来检查是否允许对给定元素进行给定的提取。通常,nonce 属性指定了告知浏览器某些样式元素或特定/特定脚本的内联内容不是由第三方注入到文档中,而是由控制服务器的任何人有意放入文档中的方式。文件送达。

它允许列出特定元素,例如一些特定的内联脚本或样式元素。它有助于避免使用允许列出所有内联样式的 CSP unsafe-inline 指令。

nonce 属性的使用

要使用 none,请为 script 标签提供 nonce 属性。 nonce 属性的值必须与可信源列表中的一个匹配。

例子 :

Javascript


现在需要将这个 nonce 添加到我们的 script-src 指令中,并附加到 nonce- 关键字。

Content-Security-Policy: script-src 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa'

支持的浏览器:

  • 谷歌浏览器 30.0
  • 火狐13.0
  • 微软边缘 18.0
  • 歌剧 12.0
  • Safari 1.0