nonce HTML атрибут - криптографічний одноразовий код
Глобальний атрибут nonce представляє криптографічний одноразовий код (number used once), який використовується Політикою безпеки вмісту (CSP) для визначення, чи дозволено завантаження ресурсу.
Значенням атрибута є текст. Елементи з атрибутом nonce переміщують його значення у внутрішній слот [[CryptographicNonce]], надають його скрипту через інтерфейс HTMLOrSVGElement, а потім встановлюють атрибут вмісту на порожній рядок, щоб запобігти витоку через побічні канали, такі як селектори атрибутів CSS.
Атрибут nonce є важливою частиною стратегії безпеки CSP для запобігання атакам XSS (Cross-Site Scripting). Значення nonce повинно бути унікальним для кожного запиту сторінки і генеруватися на стороні сервера.
Синтаксис
HTML
<script nonce="random_string">...</script>Підтримка браузерів
nonce | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
nonce_hiding |