nonce=nonce - 改竄チェック

トップ > HTMLリファレンス > nonce=nonce

属性

<タグ名 nonce=nonce> - 改竄チェック

サポート

LS / H5.1

説明

nonce は HTML5.1 で追加された属性で、コンテンツセキュリティポリシー(CPS: Content Security Policy) に従い、Web ページ上に悪意を持って埋め込まれたスクリプトの実行を抑制するために用いられます。HTML Living Standard ではグローバル属性として定義されています。

使用例

例えば、HTTP のレスポンスに下記の様な HTTP ヘッダが付与されていたとします。

HTTPヘッダ
Content-Security-Policy: script-src 'nonce-hUygTfgbgFcdRt5eDqpLfB6f==' 'strict-dynamic'

この場合、下記の HTML コードがある場合、正規のスクリプトは実行されますが、正当な nonce 値を持たない悪意のあるスクリプトは実行されません。

HTML
<article>
  ~悪意のある書き込み~
  <script>悪意のあるスクリプト</script>
  ~悪意のある書き込み~
</article>
<script nonce="hUygTfgbgFcdRt5eDqpLfB6f==">正規のスクリプト</script>

リンク


Copyright (C) 2017 杜甫々
初版:2017年12月31日 最終更新:2017年12月31日
http://www.tohoho-web.com/html/attr/nonce.htm