这是一个创建于 356 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 v2yllhwa 356 天前 防范 xss ,攻击者插入的脚本 nonce 对不上无法执行。 这是 CSP (内容安全策略): https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP |
 | 2 drymonfidelia OP @v2yllhwa 这个链接里面没有和 nonce 有关的内容呀 |
| 3 drymonfidelia OP @v2yllhwa 我知道 nonce 是 CSP 的一种,但是 script 是网页提供的,在 html 本身和响应头是来源于同一个服务器的,为什么会发生 XSS 呢 |
 | 4 pike0002 355 天前  1 防止 inline script 注入的。比如你有个博客,人家发评论的时候可能写了: scirpt alert("bad test"); script 如果你没有很好的处理 XSS 的话,这个脚本在你的文章页面打开加载评论的时候就会执行。如果用 nonce 的话只有加了 nonce 的脚本会被允许执行。这种评论里面插入的就不会执行了。 |
Select Language