スクリプトとスタイル要素にnonceを使用する必要があります。nonce属性のPug/Jade値をコンパイルしない
script(nonce="some-nonce")
と、それは出力:
<script nonce></script>
私は期待していに対し:
<script nonce="some-nonce"></script>
私はパグのソースコードを編集しようと考えています私が書くパグと
これを修正するには、これは多くの努力になります。
これについてgithubにissueを投稿しましたが、誰かが解決策または回避策を知っていると思っていましたか?
私はCodePenでこれを再現しようとしましたが、期待通りに機能しませんでした。ペンの出力を点検し、属性が正しくコピーされていることを参照してください。
<script nonce="some-nonce">console.log("test");</script>
は、たぶんこれはあなたのビルドシステム上で期限切れのパグのバージョンに関係していますか?他のすべてが失敗した場合は、PugでプレーンなHTMLを入力することもできます(この回避策のデモについては、CodePenを参照してください)。
私のページ(localhost)で、私はページのソースを検査し、ノンスを表示します。しかし、私が要素を調べると、それはちょうど「ノンス」です。また、私はnonceのために私自身のテストを追加した後にpugのnpmテストを実行し、それは合格しました。それはpugの問題ではないようですが、何かがページの読み込みや何かでnonceを取り除いています... nonceの代わりにハッシュを使用することです(これはContent-Security = Policyのためです)。どちらもうまくいきませんでした!...何時間もここで成功しなかったので、とにかく助けてくれてありがとう。 –
nonce1作品、noncey作品、ちょうどノンスではありません。しかし、私はそれが '一度使用された回数'を意味することを理解していました....私は2つのスタイル/スクリプト要素soooでそれを使用しました....うわー、私は馬鹿のように感じ、ちょうど今テスト...ああ、まだ動作しません。 –
[Googleドキュメント](https://developers.google.com/web/fundamentals/security/csp/#if_you_absolutely_must_use_it)に記載されているものを読んだり、試したことがあると思いますか? – gandreadis
この問題を抱えている人は、開発ツールはそこにいるにもかかわらずナンスを表示していない可能性があります。 –