HTML/Attribute/nonce

Aus SELFHTML-Wiki
Wechseln zu: Navigation, Suche

Das nonce-Universalattribut ordnet diesem Element einen Schlüssel zu, der es ermöglicht, Zugriffe auf externe Ressourcen mit einer Codezahl abzusichern, der Nonce. Der Begriff ist aus der mittelalterlichen englischen Redewendung "for the nonce" - für's Erste, vorläufig - abgeleitet und beinhaltet die Bedeutung: „Einmal und nie wieder.“ Mit dem HTTP-Header Content-Security-Policy lassen sich Regeln festlegen, die das Laden von Scripten, Stylesheets oder auch anderen Ressourcen nur zulassen, wenn das Element, das eine Ressource einbinden will, ein nonce-Attribut mit dem richtigen Wert besitzt. Der Browser stellt dabei einen reinen Stringvergleich an und achtet nicht auf den Inhalt der nonce. Als Nonce eignet sich z. B. die hexadezimale Darstellung einer großen, kryptographisch sicheren Zufallszahl. Wichtig ist nur, dass die Nonce bei jedem Ausliefern einer Webseite neu erzeugt wird.

erlaubte Werte

eine Zeichenkette

default-Wert keiner
erlaubt in allen HTML- und SVG-Elementen, die externe Ressourcen oder inline-Ressourcen (script, style) bereitstellen.
Browsersupport Details bei caniuse.com: {{{caniuse}}}
Beispiel
<script src="https://example.org/myscript.js" nonce="84a97f593e589c45">
Das Script läuft nur, wenn Sie einen Content-Security-Policy-Header ausliefern, der eine Fetch-Direktive script-src 'nonce-84a97f593e589c45' enthält.
Beachten Sie: Das nonce Attribut lässt sich aus Sicherheitsgründen nicht mit CSS Attributselektoren erfassen und auch nicht über die getAttribute-Methode auslesen. Sie können es aber in JavaScript über die nonce-Eigenschaft abfragen und auch setzen.

Siehe auch

JavaScript/DOM/HTMLOrSVGElement/nonce

Weblinks

WHATWG: Nonce attributes