Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
drymonfidelia
V2EX  ›  程序员

script tag 的 nonce 属性实际应用场景是什么?哪个场合会需要在加载 js 的时候附加 nonce?

  •   
  •   drymonfidelia · Dec 28, 2024 · 1662 views
    This topic created in 488 days ago, the information mentioned may be changed or developed.

    文档链接 https://developer.mozilla.org/en-US/docs/Web/HTML/Global_attributes/nonce

  • nonce
  • CSP
  • JS
    4 replies    2024-12-29 10:30:41 +08:00
    v2yllhwa
        1
    v2yllhwa  
       Dec 29, 2024
    防范 xss ,攻击者插入的脚本 nonce 对不上无法执行。

    这是 CSP (内容安全策略): https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP
    drymonfidelia
        2
    drymonfidelia  
    OP
       Dec 29, 2024
    @v2yllhwa 这个链接里面没有和 nonce 有关的内容呀
    drymonfidelia
        3
    drymonfidelia  
    OP
       Dec 29, 2024
    @v2yllhwa 我知道 nonce 是 CSP 的一种,但是 script 是网页提供的,在 html 本身和响应头是来源于同一个服务器的,为什么会发生 XSS 呢
    pike0002
        4
    pike0002  
       Dec 29, 2024   ❤️ 1
    防止 inline script 注入的。比如你有个博客,人家发评论的时候可能写了:
    scirpt
    alert("bad test");
    script
    如果你没有很好的处理 XSS 的话,这个脚本在你的文章页面打开加载评论的时候就会执行。如果用 nonce 的话只有加了 nonce 的脚本会被允许执行。这种评论里面插入的就不会执行了。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   993 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 18:22 · PVG 02:22 · LAX 11:22 · JFK 14:22
    ♥ Do have faith in what you're doing.