Ce este Nonce-Based CSP?
Implementare CSP securizata bazata pe token-uri unice generate la fiecare cerere
Definiție Nonce-Based CSP
Nonce-based CSP este cea mai securizata implementare a Content Security Policy. Serverul genereaza un token unic (nonce) la fiecare cerere si il adauga atat in headerul CSP (script-src 'nonce-abc123') cat si in fiecare tag <script nonce="abc123">. Doar scripturile cu nonce-ul corect se executa. Blocheaza eficient orice script injectat de atacatori.
De ce contează Nonce-Based CSP
Nonce-urile CSP sunt token-uri criptografice unice generate la fiecare incarcare de pagina, permitand executarea doar a scripturilor care contin exact acel token in atributul nonce. Spre deosebire de hash-uri care trebuie recalculate la fiecare modificare de cod, nonce-urile sunt flexibile si permit executarea scripturilor inline fara unsafe-inline.
Cum verifici Nonce-Based CSP
SoftAudit analizeaza antetul CSP pentru prezenta nonce-urilor in directiva script-src (formatul 'nonce-{base64}') si verifica daca tag-urile script din pagina contin atributul nonce corespunzator. Detecteaza si nonce-urile statice (aceeasi valoare la fiecare incarcare), care invalideaza complet protectia.
Verifică securitatea site-ului →Greșeli frecvente
Reutilizarea aceluiasi nonce pe mai multe incarcari de pagina sau pe mai multi utilizatori transforma nonce-ul intr-o valoare predictibila pe care atacatorul o poate include in scripturile injectate. Generarea nonce-urilor cu functii non-criptografice (Math.random in loc de crypto.randomBytes) produce valori ghicibile.
Bune practici
Genereaza nonce-uri de minim 128 biti (16 bytes) cu un generator criptografic securizat (crypto.randomBytes in Node.js, random_bytes in PHP) la fiecare cerere HTTP. Propaga nonce-ul prin template engine catre toate scripturile inline si seteaza-l in headerul CSP in acelasi raspuns — nu il stoca in sesiune sau cookie.
Verifică acum
Folosește instrumentul gratuit SoftAudit pentru a verifica nonce-based csp pe site-ul tău.
Verificare Securitate — GratuitÎntrebări frecvente
Ce este Nonce-Based CSP?
Nonce-based CSP este cea mai securizata implementare a Content Security Policy. Serverul genereaza un token unic (nonce) la fiecare cerere si il adauga atat in headerul CSP (script-src 'nonce-abc123') cat si in fiecare tag <script nonce="abc123">. Doar scripturile cu nonce-ul corect se executa. Blocheaza eficient orice script injectat de atacatori.
De ce este important Nonce-Based CSP pentru un website?
Nonce-urile CSP sunt token-uri criptografice unice generate la fiecare incarcare de pagina, permitand executarea doar a scripturilor care contin exact acel token in atributul nonce. Spre deosebire de hash-uri care trebuie recalculate la fiecare modificare de cod, nonce-urile sunt flexibile si permit executarea scripturilor inline fara unsafe-inline.