我正在使用 NWebSec 将随机数添加到脚本标签,例如
<script nws-csp-add-nonce="true">
...
</script>
但是,我需要将 nonce 添加到另一个属性,因此需要执行以下操作:
<script nws-csp-add-nonce="true" data-nonce="@Html.CspNonce()">
...
</script>
这对 NWebSec 是否可行,或者生成的 nonce 是否无法以任何方式访问?
对于上下文,这是尝试让 Google 标记管理器将 nonce 传播到自定义 HTML 脚本。
编辑
下面建议的解决方案似乎有效。所以我需要将它添加到 GTM 脚本中:
var gtmScript = document.getElementById('gtmscript');
gtmScript.setAttribute('data-nonce', gtmScript.nonce);
它采用 nonce 并将其添加到 data-nonce 属性中。不是最好的解决方案。我更喜欢访问后端的随机数。