首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
drymonfidelia
V2EX  ›  程序员

script tag 的 nonce 属性实际应用场景是什么?哪个场合会需要在加载 js 的时候附加 nonce?

  •   
  •   drymonfidelia · 4 天前 · 613 次点击

    文档链接 https://developer.mozilla.org/en-US/docs/Web/HTML/Global_attributes/nonce

  • nonce
  • CSP
  • JS
    4 条回复    2024-12-29 10:30:41 +08:00
    v2yllhwa
        1
    v2yllhwa  
       3 天前
    防范 xss ,攻击者插入的脚本 nonce 对不上无法执行。

    这是 CSP (内容安全策略): https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP
    drymonfidelia
        2
    drymonfidelia  
    OP
       3 天前
    @v2yllhwa 这个链接里面没有和 nonce 有关的内容呀
    drymonfidelia
        3
    drymonfidelia  
    OP
       3 天前
    @v2yllhwa 我知道 nonce 是 CSP 的一种,但是 script 是网页提供的,在 html 本身和响应头是来源于同一个服务器的,为什么会发生 XSS 呢
    pike0002
        4
    pike0002  
       3 天前   ❤️ 1
    防止 inline script 注入的。比如你有个博客,人家发评论的时候可能写了:
    scirpt
    alert("bad test");
    script
    如果你没有很好的处理 XSS 的话,这个脚本在你的文章页面打开加载评论的时候就会执行。如果用 nonce 的话只有加了 nonce 的脚本会被允许执行。这种评论里面插入的就不会执行了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2631 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 10:32 · PVG 18:32 · LAX 02:32 · JFK 05:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.