我正在Asp.Net应用程序中实现内容安全策略。(。Net Framework 3.5)。我已经通过nuget软件包安装了NWebSec(4.0),并在web.config中添加了打击配置。
<nwebsec>
<httpHeaderSecurityModule>
<securityHttpHeaders>
<content-Security-Policy enabled="true">
<default-src self="true"/>
<script-src self="true" unsafeInline= "true">
<add source="*.abc.com" />
</script-src>
</content-Security-Policy>
</securityHttpHeaders>
</httpHeaderSecurityModule>
</nwebsec>
上面的配置生成下面的标题
Content-Security-Policy: default-src ‘self’; script-src ‘self’ 'unsafe-inline' *.abc.com
但是我相信,上面的标头缺少'nonce'标签,它一定是
Content-Security-Policy: default-src ‘self’; script-src ‘self’ 'unsafe-inline' 'nonce-Koegbg1128522' *.abc.com
为什么我没有在标题中得到这个'nonce'标签?