nonce anwendung
-
ich habe ein kleines Plugin geschrieben, welches die Nutzung von nonce ermöglichen soll. Also alle meine styles und scripte auch inline-scripte mit nonce=“xyz1234 etc“ einem key halt impft.
Ich habe etliche debug info abfragen in das Plugin integriert. Das ganze funktioniert im debug und report only modus meines Plugins sehr gut. Sobald ich aber das abschalte setzt WordPress nehme ich an immer einen leeren nonce=““ ein.
Egal was ich auch versuche. Habt Ihr eine Vermutung woher der Übeltäter kommt?CSP FINAL REPLACEMENT:
Nonce: En4fnIOtBZpNty+dF4Yr8A==
Leere Nonces ersetzt: 0
Scripts + Nonce: 53
Styles + Nonce: 3
Links + Nonce: 43Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]
-
nonce ist eine doch recht vielfältig eingesetzte Technik. In WordPress wird es zur Absicherung von Requests genutzt. Dir geht es aber offenbar um Content Security Policy (CSP), was ein völlig anderes Thema ist.
Ich verstehe jedoch nicht was du damit meinst:
Das ganze funktioniert im debug und report only modus meines Plugins sehr gut. Sobald ich aber das abschalte setzt WordPress nehme ich an immer einen leeren nonce=““ ein.
WordPress setzt von sich aus keine nonce-Attribute für CSP. Wenn du CSP mit deinem Plugin ergänzt, würde dessen Abschaltung dazu führen, dass keinerlei CSP mehr genutzt wird. Das wäre auch absolut richtig so, es sei denn du hast ein anderes Plugin oder auch serverseitig eine Einstellung im Einsatz die CSP ebenfalls setzt.
Du musst angemeldet sein, um auf dieses Thema zu antworten.