如何在 ASP.NET MVC 4 中为 CSP 使用动态随机数

Posted 2023-03-30

【中文标题】如何在 ASP.NET MVC 4 中为 CSP 使用动态随机数

【英文标题】：How to use dynamic nonce in ASP.NET MVC 4 for CSP

【发布时间】：2020-02-06 09:41:53

【问题描述】：

我在 ASP.NET MVC 4 中开发了 MVC 应用程序。我在几个页面中使用了 javascripts。一些javascript被引用为

@Scripts.Render("~/Scripts/bootstrap")
@Scripts.Render("~/Scripts/js")

还有一些像

这样的内联脚本

<script type="javascript">

   // javascript code
</script>

我想为此网站实施内容安全政策。该站点托管在 IIS 中。所以在 IIS 中，我在 HTTP 响应标头中添加 content-security-policy 标头作为

object-src 'none';
 script-src 'nonce-random' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic' https: http:;
 base-uri 'self';
 report-uri https://csp.withgoogle.com/csp/<unique_id>/<application_version>

所以每个响应都会包含这个标头。

问题：

如何将随机生成的 nonce 添加到脚本标签中，重要的是 IIS 如何知道随机生成的 nonce 值，以便它可以包含在响应标头中？ （我假设每个响应都有唯一的 nonce 值）

【参考方案1】：

插入 nonce 标签，尤其是在 CSP 中匹配它们通常很棘手。如果您的脚本代码是静态的并且不包含任何更改，那么根据它们的哈希将它们列入白名单会容易得多。如果您删除“不安全内联”，许多浏览器会告诉您需要添加哪些哈希。

请注意，您的 script-src 包括 https: 和 http: 将允许它在 http 和 https 上加载任何脚本。如果您的页面通过 https 提供，则不允许使用主动混合内容，因此不会加载 http 上的脚本。