nonce: attributo HTML

L'attributo nonce è un attributo di contenuto che definisce un nonce crittografico ("numero utilizzato una volta") che può essere utilizzato dalla politica di sicurezza dei contenuti per determinare se un determinato recupero potrà procedere o meno per un determinato elemento.

Descrizione

L'attributo nonce è utile per consentire l'elenco di elementi specifici, come uno script inline particolare o elementi di stile. Può aiutarti a evitare l'uso della direttiva CSP unsafe-inline , che consentirebbe l'elenco di tutti gli script o gli stili inline.

Utilizzo di nonce per consentire l'elenco di un elemento <script>

Sono necessari alcuni passaggi per consentire l'elenco di uno script inline utilizzando il meccanismo nonce:

Generazione di valori

Dal tuo server web, genera una stringa casuale con codifica base64 di almeno 128 bit di dati da un generatore di numeri casuali crittograficamente sicuro. I nonces dovrebbero essere generati in modo diverso ogni volta che la pagina viene caricata (non solo una volta!). Ad esempio, in nodejs:

const crypto = require('crypto');
crypto.randomBytes(16).toString('base64');
// '8IBTHwOdqNKAWeKl7plt8g=='

Script inline per l'elenco

Il nonce generato sul codice di back-end dovrebbe ora essere utilizzato per lo script inline che desideri consentire all'elenco:

<script nonce="8IBTHwOdqNKAWeKl7plt8g==">...</script>