Безопасно ли хранить одноразовые / хеш-коды в файле .htacces или создавать случайные одноразовые / хеш-коды отдельно для каждой веб-страницы, которую посетил пользователь?

Question

Я устанавливаю политику безопасности контента на моем сайте. И после долгих исследований я немного запутался в том, куда поместить код CSP. Должен ли я разместить его по отдельности на каждой веб-странице, которая является тяжелой работой, или я должен поместить nonce / hash-код в файл .htaccess? И как я могу генерировать случайные одноразовые / хэш-коды каждый раз, когда кто-то находится на сайте?

Я уже пытался разместить CSP на каждой веб-странице, и для его работы требуется много времени, не говоря уже о внесении изменений в каждую ссылку на скрипт и встроенные элементы.

Ниже приведен код, который я использовал: (пример) ... script-src 'nonce-4AEemGb0xJptoIGFP3Nd' ... Должен ли я хранить код nonce в файле .htaccess или хранить отдельно для каждой отдельной страницы сайта.

Answer 1

Случайный одноразовый номер должен, по определению, генерироваться при каждой загрузке страницы; nonce означает «число, использованное один раз». Таким образом, вы должны генерировать страницу программно, а не использовать сырые .html файлы. Статический одноразовый номер («nmany»?) Наносит ущерб цели одноразовых номеров и не обеспечивает никакой безопасности.

Хэш, с другой стороны, является статическим, потому что это представление определенного скрипта.