2

我正在 Asp.Net 应用程序中实施内容安全策略。(.Net Framework 3.5)。我已经通过 nuget 包安装了 NWebSec (4.0),并在 web.config 中添加了打击配置。

<nwebsec>
 <httpHeaderSecurityModule>
    <securityHttpHeaders>
    <content-Security-Policy enabled="true">
          <default-src self="true"/>
          <script-src self="true" unsafeInline= "true">
             <add source="*.abc.com" />
              </script-src>
    </content-Security-Policy>
   </securityHttpHeaders>
  </httpHeaderSecurityModule>
 </nwebsec>

上面的配置生成下面的标题

Content-Security-Policy: default-src ‘self’; script-src ‘self’ 'unsafe-inline' *.abc.com

但我相信,上面的标题缺少“nonce”标签,它一定是这样的

Content-Security-Policy: default-src ‘self’; script-src ‘self’ 'unsafe-inline' 'nonce-Koegbg1128522' *.abc.com

为什么我没有在标题中得到这个“nonce”标签?

4

0 回答 0