El atributo nonce HTML es un atributo de contenido global que define un nonce criptográfico (» número usado una vez «). Es utilizado por la Política de seguridad de contenido (es una capa adicional de seguridad que ayuda a detectar y mitigar ciertos tipos de ataques, como los ataques de inyección de datos) para verificar si una búsqueda determinada podrá continuar para un elemento determinado o no . En general, el atributo nonce especifica la forma en que se le dice al navegador que los contenidos en línea de algún elemento de estilo o script específico/particular no fueron inyectados en el documento por terceros y fueron colocados en el documento intencionalmente por quien controla el servidor desde donde el se entrega el documento.
Permite la lista de elementos específicos, como algunos scripts en línea específicos o elementos de estilo. Ayuda a evitar el uso de la directiva en línea insegura de CSP que permitiría enumerar todos los estilos en línea.
Uso del atributo nonce
Para usar none, proporcione a la etiqueta del script un atributo nonce. El valor del atributo nonce debe coincidir con uno en la lista de fuentes confiables.
Ejemplo :
Javascript
<script nonce="EDNnf03nceIOfn39fn3e9h3sdfa"> // Some inline code that I can't remove yet, but needed </script>
Ahora, este nonce debe agregarse a nuestra directiva script-src adjunta a la palabra clave nonce.
Content-Security-Policy: script-src 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa'
Navegadores compatibles:
- Google Chrome
- Firefox 31.0 y superior
- Borde de Microsoft
- Ópera
- Safari
Publicación traducida automáticamente
Artículo escrito por siddharthredhu01 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA