Я реализую политику безопасности контента в приложении Asp.Net. (.NET Framework 3.5). Я установил NWebSec (4.0) через пакеты nuget и добавил конфигурацию удара в web.config.
<nwebsec>
<httpHeaderSecurityModule>
<securityHttpHeaders>
<content-Security-Policy enabled="true">
<default-src self="true"/>
<script-src self="true" unsafeInline= "true">
<add source="*.abc.com" />
</script-src>
</content-Security-Policy>
</securityHttpHeaders>
</httpHeaderSecurityModule>
</nwebsec>
Приведенная выше конфигурация создает заголовок ниже
Content-Security-Policy: default-src ‘self’; script-src ‘self’ 'unsafe-inline' *.abc.com
Но я считаю, что в приведенном выше заголовке отсутствует тег 'nonce', это должно быть что-то вроде
Content-Security-Policy: default-src ‘self’; script-src ‘self’ 'unsafe-inline' 'nonce-Koegbg1128522' *.abc.com
Почему я не получаю этот 'nonce' тег в заголовке?