我目前正在为我的项目实现CSP(内容安全策略),并且我已经选择为所有无法从网页移开的内联脚本实现nonce。在尝试为经典的aspx页面实现nonce时,很少有地方包含脚本管理器来使用ajaxcontrol工具包,并且他们在html中生成一个标记。
由于我有nonce实现,我需要将nonce属性添加到脚本标记,以防止被CSP阻止。我已经调查了2天,我没有找到任何建议/解决方案。
编辑:
我正在使用OWIN中间件生成nonce。元标记在主页面加载期间动态生成并附加到元标记。
任何帮助,将不胜感激。
谢谢
在IIS 7及更高版本上,您可以利用URL重写模块来定义允许您动态修改标记的出站规则:
以下是重写图像标记的示例:
http://marisks.net/2017/05/14/changing-static-resource-urls-to-cdn-urls-with-url-rewrite/
在与microsoft社区讨论之后,已经确定无法解释动态生成的脚本标记。所以到目前为止,这是不可能的。如果我找到任何解决方案,或者如果你们有建议或解决方法,请随时在这里发布,让你们更新。感谢你的帮助