nonce: attributo HTML
L'attributo nonce
è un attributo di contenuto che definisce un nonce crittografico ("numero utilizzato una volta") che può essere utilizzato dalla politica di sicurezza dei contenuti per determinare se un determinato recupero potrà procedere o meno per un determinato elemento.
Descrizione
L'attributo nonce
è utile per consentire l'elenco di elementi specifici, come uno script inline particolare o elementi di stile. Può aiutarti a evitare l'uso della direttiva CSP unsafe-inline
, che consentirebbe l'elenco di tutti gli script o gli stili inline.
Utilizzo di nonce per consentire l'elenco di un elemento <script>
Sono necessari alcuni passaggi per consentire l'elenco di uno script inline utilizzando il meccanismo nonce:
Generazione di valori
Dal tuo server web, genera una stringa casuale con codifica base64 di almeno 128 bit di dati da un generatore di numeri casuali crittograficamente sicuro. I nonces dovrebbero essere generati in modo diverso ogni volta che la pagina viene caricata (non solo una volta!). Ad esempio, in nodejs:
const crypto = require('crypto');
crypto.randomBytes(16).toString('base64');
// '8IBTHwOdqNKAWeKl7plt8g=='
Script inline per l'elenco
Il nonce generato sul codice di back-end dovrebbe ora essere utilizzato per lo script inline che desideri consentire all'elenco:
<script nonce="8IBTHwOdqNKAWeKl7plt8g==">...</script>