Политика безопасности контента

В настоящее время я реализую CSP (политику безопасности контента) для своего проекта, и я решил реализовать nonce для всех встроенных скриптов, которые нельзя убрать с веб-страницы. Пытаясь реализовать nonce для классических страниц aspx, есть несколько мест, где менеджер скриптов включается для использования инструментария ajaxcontrol, и они генерируют тег в html.

Поскольку у меня есть реализация nonce, мне нужно добавить атрибут nonce в тег скрипта, чтобы предотвратить блокировку CSP. Я изучал это в течение 2 дней, и я не нашел для этого никаких предложений / решений.

Обновлено:

Я создаю одноразовый номер с помощью промежуточного программного обеспечения OWIN. Тег мета создается динамически и добавляется к тегу мета во время загрузки главной страницы.

Любая помощь будет оценена.

Спасибо

Какой веб-сервер вы используете?

Matt Evans 20.11.2018 14:05

Я использую IIS ..

Abinash 20.11.2018 15:52
javascript c# asp.net content-security-policy scriptmanager
12.11.2018 15:52
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Концепция локализации и ее применение в приложениях React ⚡️
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Улучшение производительности загрузки с помощью Google Tag Manager и атрибута Defer
Улучшение производительности загрузки с помощью Google Tag Manager и атрибута Defer
В настоящее время производительность загрузки веб-сайта имеет решающее значение не только для удобства пользователей, но и для ранжирования в...
Безумие обратных вызовов в javascript [JS]
Безумие обратных вызовов в javascript [JS]
Здравствуйте! Юный падаван 🚀. Присоединяйся ко мне, чтобы разобраться в одной из самых запутанных концепций, когда вы начинаете изучать мир...
Система управления парковками с использованием HTML, CSS и JavaScript
Система управления парковками с использованием HTML, CSS и JavaScript
Веб-сайт по управлению парковками был создан с использованием HTML, CSS и JavaScript. Это простой сайт, ничего вычурного. Основная цель -...
JavaScript Вопросы с множественным выбором и ответы
JavaScript Вопросы с множественным выбором и ответы
Если вы ищете платформу, которая предоставляет вам бесплатный тест JavaScript MCQ (Multiple Choice Questions With Answers) для оценки ваших знаний,...
1
2
714
2

Ответы 2

В IIS 7 и более поздних версиях вы можете использовать модуль перезаписи URL для определения исходящих правил, которые позволяют изменять разметку на лету:

https://docs.microsoft.com/en-us/iis/extensions/url-rewrite-module/using-outbound-rules-to-add-web-analytics-tracking-code

Вот пример перезаписи тегов изображений:

http://marisks.net/2017/05/14/changing-static-resource-urls-to-cdn-urls-with-url-rewrite/

Спасибо за Ваш ответ. Но в моем случае мне просто нужно включить атрибут «nonce» в тег скрипта, чтобы внести его в белый список, потому что я использую политику безопасности контента с nonce для внесения в белый список встроенных скриптов. Теги сценария, сгенерированные элементами управления, использующими диспетчер сценариев, не получают этот атрибут, поскольку они отображаются на странице динамически. Будет ли эта перезапись URL работать даже для манипулирования тегами скрипта, созданными динамически? А также я динамически генерирую одноразовый номер, который будет меняться для каждого запроса. Также есть способ сделать это программно? поделитесь своими мыслями.

Abinash 20.11.2018 15:54
20.11.2018 14:13

После обсуждения с сообществом Microsoft было установлено, что нет возможности интерпретировать тег скрипта, созданный динамически. Так что на данный момент это невозможно. буду держать вас в курсе, ребята, если я найду какое-либо решение, или если у вас, ребята, есть предложение или обходной путь, не стесняйтесь размещать его здесь. Спасибо за вашу помощь

28.03.2019 12:31

Другие вопросы по теме

Логи TraceWriter не попадают в аналитику
Как использовать трек-бар с другим представлением данных?
У NavigationStack проблема со ScanPage
Привязать строку к WPF RichTextBox
Символы Unicode в относительной ссылке iTextSharp
Ошибка сценария PowerShell «Неожиданный токен 'h' в выражении или инструкции. В строке отсутствует терминатор:»
Costura.fody не может найти ткачей
Загрузите один файл с удаленного компьютера (git show) с помощью libgit2sharp
C# .NET Определение звука удара с помощью микрофона
Таймауты удаленного веб-драйвера Selenium через 60 секунд, C# vs2015

Похожие вопросы

Ошибка при создании контекстных меню в расширении Chrome
Загрузка файла ajax php post
Почему я не получаю данные при движении по маршруту?
Какой метод кеширования использовать в моей ситуации?
Есть ли способ изменить переменные, к которым осуществляется доступ с помощью замыканий, и нет возможности получить к ним доступ?
Запускать JQuery один раз за сеанс браузера
Сортировка массива с элементами момента (даты)
Различать события JavaScript
Найти шаблон и динамически построить регулярное выражение для соответствия строке
Пользовательский интерфейс материала: переопределение стиля вложенных компонентов не применяется