我最近一直在阅读 CSP 的内容,但我未能找到关于 nonce 如何工作的清晰解释或可靠示例。unsafe-inline出于安全考虑,我试图避免使用。
到目前为止,我的理解如下:
服务器每次连接都会生成一个新的随机数客户端通过某种方式获取这个随机数并将这个字符串插入到每个脚本标签中
但是,我不知道客户端如何获得这个在每个连接中都是动态且唯一的值。某种方式是什么样的?我应该实现一个额外的 API 来获取这个值吗?
我使用了 React.js,并且我的 HTML 头中有一个Google 跟踪代码管理器片段,如果有人可以提供与这些相关的示例,那就完美了。
http-headers nonce content-security-policy google-tag-manager reactjs