Salt la conținut
Securitate Web

Ce este Nonce-Based CSP?

Implementare CSP securizata bazata pe token-uri unice generate la fiecare cerere

Definiție Nonce-Based CSP

Nonce-based CSP este cea mai securizata implementare a Content Security Policy. Serverul genereaza un token unic (nonce) la fiecare cerere si il adauga atat in headerul CSP (script-src 'nonce-abc123') cat si in fiecare tag <script nonce="abc123">. Doar scripturile cu nonce-ul corect se executa. Blocheaza eficient orice script injectat de atacatori.

De ce contează Nonce-Based CSP

Nonce-urile CSP sunt token-uri criptografice unice generate la fiecare incarcare de pagina, permitand executarea doar a scripturilor care contin exact acel token in atributul nonce. Spre deosebire de hash-uri care trebuie recalculate la fiecare modificare de cod, nonce-urile sunt flexibile si permit executarea scripturilor inline fara unsafe-inline.

Cum verifici Nonce-Based CSP

SoftAudit analizeaza antetul CSP pentru prezenta nonce-urilor in directiva script-src (formatul 'nonce-{base64}') si verifica daca tag-urile script din pagina contin atributul nonce corespunzator. Detecteaza si nonce-urile statice (aceeasi valoare la fiecare incarcare), care invalideaza complet protectia.

Verifică securitatea site-ului →

Greșeli frecvente

Reutilizarea aceluiasi nonce pe mai multe incarcari de pagina sau pe mai multi utilizatori transforma nonce-ul intr-o valoare predictibila pe care atacatorul o poate include in scripturile injectate. Generarea nonce-urilor cu functii non-criptografice (Math.random in loc de crypto.randomBytes) produce valori ghicibile.

Bune practici

Genereaza nonce-uri de minim 128 biti (16 bytes) cu un generator criptografic securizat (crypto.randomBytes in Node.js, random_bytes in PHP) la fiecare cerere HTTP. Propaga nonce-ul prin template engine catre toate scripturile inline si seteaza-l in headerul CSP in acelasi raspuns — nu il stoca in sesiune sau cookie.

Verifică acum

Folosește instrumentul gratuit SoftAudit pentru a verifica nonce-based csp pe site-ul tău.

Verificare Securitate — Gratuit

Întrebări frecvente

Ce este Nonce-Based CSP?

Nonce-based CSP este cea mai securizata implementare a Content Security Policy. Serverul genereaza un token unic (nonce) la fiecare cerere si il adauga atat in headerul CSP (script-src 'nonce-abc123') cat si in fiecare tag <script nonce="abc123">. Doar scripturile cu nonce-ul corect se executa. Blocheaza eficient orice script injectat de atacatori.

De ce este important Nonce-Based CSP pentru un website?

Nonce-urile CSP sunt token-uri criptografice unice generate la fiecare incarcare de pagina, permitand executarea doar a scripturilor care contin exact acel token in atributul nonce. Spre deosebire de hash-uri care trebuie recalculate la fiecare modificare de cod, nonce-urile sunt flexibile si permit executarea scripturilor inline fara unsafe-inline.

Termeni asociați

Înapoi la glosarul complet