Content Security Policy: nonce-Attribut zu inline Tags hinzufügen
Wenn man eine strikte Content Security Policy (CSP) umsetzen möchte, sollten die CSP-Direktiven script-src
und style-src
nicht den Wert unsafe-inline
haben.
Aktuell ist der Wert aber notwendig, damit inline <style>
- und <script>
-Tags erlaubt sind.
Damit dieser Wert nicht mehr gesetzt werden muss, können die besagten Tags mit dem nonce
-Attribut versehen werden.
Der Wert des Attributs sollte ein kryptografisch sicherer und zufälliger Hash sein.
Alle verwendeten Hashes müssen dann mit im CSP-Header versendet werden, um zu definieren, dass diese Tags sicher sind.
Die Hashes müssten sich zudem bei jedem Request ändern.
Alternativ kann auch ein Hash des Inhalts der Tags gebildet werden und im Header übertragen werden.
Weitere Informationen und Beispiele dazu: