javascript — защищает ли nonce от изменения удаленного сценария, если да, то как?

Защищает ли одноразовый номер от изменения удаленного скрипта, если да, то как?

Силы, которые пытаются это сделать, пытаются подавить проблемы CSP, отмечаемые различными инструментами сканирования безопасности. Наша большая проблема заключается в том, что многие наши сайты используют VB.Net WebForms, что означает, что .NET вводит много вещей.

Я нашел способ генерирования одноразового номера при каждом запросе и последующего внедрения в элементы, которые создает .NET, однако, если это означает, что кто-то может просто изменить внешний сценарий, то это не имеет значения, и я бы не стал тратить впустую время.

Я понимаю, что следующий скрипт сломается, если хеш не соответствует содержимому.

 Content-Security-Policy: script-src 'sha256-demo123' {amp}lt;script src="www.asfd.com/script.js" integrity="sha256-demo123" crossorigin="anonymous" /{amp}gt; 

Как это работает при использовании одноразового номера? Разве одноразовый номер не гарантирует, что если что-то внутри тега скрипта изменится (т. Е. Введен код), то оно будет нарушено при выполнении, потому что новый одноразовый номер будет сгенерирован для следующего запроса, и его невозможно угадать.

Понравилась статья? Поделиться с друзьями:
JavaScript & TypeScript
Adblock
detector