如何在 CSP 中使用 nonce
How to use nonce in CSP
我一直在阅读有关将内联脚本与随机数一起使用的 CSP 文档(数字仅使用一次),但我仍然没有完全理解它。
- 我可以对不同的内联脚本使用相同的随机数吗?也就是说,我可以这样做吗?
HTTP 层:
Content-Security-Policy: script-src 'nonce-2726c7f26c'
Javascript 内联于 HTML
<script nonce="2726c7f26c">
var inline = 1;
</script>
<script nonce="2726c7f26c">
var inline2 = 2;
</script>
- 你能推荐我任何 node.js 函数来生成这样的随机数吗?我可以使用
require('crypto') 吗?
我的解决方案是正确的
我们为每个 HTTP 请求创建一个 nonce,我们不应该为每个脚本创建一个。所以,我最初的解决方案是正确的。 CSP 规则进入 HTTP 层,因此每个 HTTP 请求一个随机数。
我一直在阅读有关将内联脚本与随机数一起使用的 CSP 文档(数字仅使用一次),但我仍然没有完全理解它。
- 我可以对不同的内联脚本使用相同的随机数吗?也就是说,我可以这样做吗?
HTTP 层:
Content-Security-Policy: script-src 'nonce-2726c7f26c'
Javascript 内联于 HTML
<script nonce="2726c7f26c">
var inline = 1;
</script>
<script nonce="2726c7f26c">
var inline2 = 2;
</script>
- 你能推荐我任何 node.js 函数来生成这样的随机数吗?我可以使用
require('crypto')吗?
我的解决方案是正确的
我们为每个 HTTP 请求创建一个 nonce,我们不应该为每个脚本创建一个。所以,我最初的解决方案是正确的。 CSP 规则进入 HTTP 层,因此每个 HTTP 请求一个随机数。