CSP Nonce
Abkürzungen / Synonyme: Cryptographic Nonce
Kurzdefinition
Eine einmalige Zufallszahl, die im CSP-Header deklariert und im HTML-Skripttag verwendet wird, um nur exakt dieses Skript auszuführen.
Ausführliche Erklärung
Ein CSP-Nonce (Number used once) ist ein bei jedem Seitenaufruf neu erzeugter Zufallswert, der eine Content Security Policy ohne das gefährliche `unsafe-inline` ermöglicht. Der Server setzt den Nonce sowohl im CSP-Header (`script-src 'nonce-xyz'`) als auch im jeweiligen `<script nonce="xyz">`. Nur Skripte mit passendem, nicht erratbarem Nonce werden ausgeführt – eingeschleuste Inline-Skripte ohne gültigen Nonce blockiert der Browser. Wichtig: Der Nonce muss kryptografisch zufällig und pro Request einzigartig sein.
Beispiel
Header `Content-Security-Policy: script-src 'nonce-rAnd0m'` plus `<script nonce="rAnd0m">` erlaubt genau dieses Skript und blockiert fremde Inline-Skripte.
Im ausführlichen Fachartikel erklären wir CSP Nonce mit Architektur, Praxisbeispielen und Best Practices im Detail: