我的代码中有一个奇怪的行为,但是它仅出现在webkit浏览器(chrome + Opera)中,并且仅启用了SSL。总的来说,我在脚本标签中使用了nonce-attribute,但是只有一个特殊的用户组才为nonce发送匹配的http-header。因此,对于大多数访问者来说,这只是一个属性,而不是安全性。
<script src="https://www.example.com/script.js" nonce="random-value"></script>
在没有SSL(仅HTTP)的localhost上,它可以正常工作,但在SSL(HTTPS)下,我在源代码中看到随机值,但在检查器/元素中,随机数属性为空。
<script src="https://www.example.com/script.js" nonce=""></script>
在Firefox和Edge中,它显示此值。这是bug还是Webkit的安全性还是我的错误,但是为什么仅在webkit中呢?装有Windows 10的Chrome 68.0.3440.84。