我需要在脚本和样式元素上使用nonce。
我用哈巴狗写道:
script(nonce="some-nonce")
并输出:
<script nonce></script>
而我期待:
<script nonce="some-nonce"></script>
我正在考虑尝试编辑哈巴狗的源代码来解决这个问题,但这需要付出很多努力。
我在github上发布了一个issue,但是我想知道是否有人知道解决方案或解决方法?
答案 0 :(得分:1)
它确实输出了正确的html。但是,当使用带有inspect元素的Google开发工具时,它不会显示nonce值 - 但如果您查看页面源,它将显示它。
这可能是某种安全措施。
答案 1 :(得分:0)
我试图在CodePen中重现这一点,但没有成功(它按预期工作)。检查Pen的输出,并查看该属性是否已正确复制:
<script nonce="some-nonce">console.log("test");</script>
也许这与您构建系统上过时的Pug版本有关?如果所有其他方法都失败了,您也可以随时在Pug中输入纯HTML(请参阅CodePen以获取此变通方法的演示)。