Политика безопасности контента

Question

Я в настоящее время внедряю CSP (Content Security Policy) для своего проекта, и я решил внедрить nonce для всех встроенных сценариев, которые нельзя убрать с веб-страницы.При попытке реализовать nonce для классических страниц aspx, есть несколько мест, где менеджер сценариев включен для использования инструментария ajaxcontrol, и они генерируют тег в html.

Так как у меня есть nonce реализация Мне нужно добавить атрибут nonce к тегу сценария, чтобы CSP не блокировал его.Я изучал это в течение 2 дней, и я не нахожу никаких предложений / решений для этого.

РЕДАКТИРОВАТЬ:

Я генерирую одноразовый номер с использованием промежуточного программного обеспечения OWIN.Тег meta создается динамически и добавляется к тегу meta во время загрузки главной страницы.

Любая помощь приветствуется.

Спасибо

Answer 1

После обсуждения с сообществом Microsoft было установлено, что нет способа интерпретировать динамически создаваемый тег сценария.Так что на данный момент это не возможно.буду держать вас в курсе, ребята, если я найду какое-либо решение или если у вас, ребята, есть предложение или обходной путь, не стесняйтесь размещать его здесь.Спасибо за вашу помощь

Answer 2

В IIS 7 и более поздних версиях модуль перезаписи URL можно использовать для определения исходящих правил, которые позволяют изменять разметку на лету:

https://docs.microsoft.com/en-us/iis/extensions/url-rewrite-module/using-outbound-rules-to-add-web-analytics-tracking-code

Вот пример перезаписи тегов изображений:

http://marisks.net/2017/05/14/changing-static-resource-urls-to-cdn-urls-with-url-rewrite/