Ankündigung

Einklappen
Keine Ankündigung bisher.

CSS inline style nonce

Einklappen

Neue Werbung 2019

Einklappen
X
Einklappen
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige Weiter
  • #1

    CSS inline style nonce

    Zuletzt geändert von strub; 01.03.2018, 12:29.
    Hallo zusammen

    Ich möchte gerne denn CSP Header benutzen und Javaskripte sowie CSS nur mit einen nonce zu erlauben.

    Nun ich sehe nirgends, dass dies mit inline style attribute möglich ist.

    Geht den dies nicht. Natürlich nur wenn es Designtechnisch nicht anders geht. Ansonsten kommt es natürlich in eine CSS Datei.
    Code:
    <div nonce="54673ed..." style="background: red;"></div>
    oder so etwas
    Code:
    <div style="background: red; nonce: 54673ed...;"></div>
    Ich finde leider gar nichts dazu
    Stichworte: -
  • #2
    Da steht ja auch kein Wert drin.
    Sieh auch https://stackoverflow.com/questions/...style-elements

    Kommentar

    • #3
      Zuletzt geändert von strub; 01.03.2018, 12:32.
      Ja das war ja nur ein Beispiel. Sollte natürlich eine Wert drin stehen (editiert). Klappt leider bei mir nur beim Einbinden:

      Code:
      <link rel="stylesheet" nonce="54673ed..." href="stylesheet.css">
      Warscheinlich wird sowas nicht unterstützt, da ich ja auch nichts dazu finde.

      Kommentar

      • #4
        Lies den Link durch da steht es super erklärt.
        Ausserdem ist deine Browser Version entscheidend, da es ein neues Attribut ist.

        Kommentar

        • #5
          Danke Dir protestix für den Link, hatte ich jedoch auch schon gelesen. Doch leider wird da nichts vom inline css nonce erwähnt.

          Kommentar

          • #6
            CSP Level 2 ist gerade mal in der "Candidate Recommendation" Phase. Was erwartest Du da? Ich würde mit sowas bzgl. Anwendung warten bis es offiziell freigegeben ist!
            PHP-Manual ¡ mysql_* ist veraltet ¡ Debugging: Finde DEINE Fehler selbst ¡ Passwort-Hashing ¡ Prepared Statements

            Kommentar

            • #7
              Aha okey, dann kommt sowas. Hört sich ja gut an. Danke dir.

              Kommentar

              • #8
                Hat aber nichts mit inlinestyle und deiner Frage zu tun.
                Nonce ist für die Validierung von nachzuladenden Scripten gedacht. Daher hat es mit Inlinestyles gar nichts zu tun, da diese ja fest im Code stehen, bei Auslieferung an den Client.
                Daher macht nonce an dieser Stelle auch keinen Sinn, egal ob candidate recommendation oder nicht.

                Lies dir auch immer die zugelassen Attribute für die HTML Elemente durch. Alles was nicht zugelassen ist muss auch nicht unterstützt werden.

                Kommentar

                • #9
                  Nonce ist für die Validierung von nachzuladenden Scripten gedacht. Daher hat es mit Inlinestyles gar nichts zu tun, da diese ja fest im Code stehen, bei Auslieferung an den Client.
                  Daher macht nonce an dieser Stelle auch keinen Sinn, egal ob candidate recommendation oder nicht.
                  Ja aber inline styles werden ja auch geblockt. Daher müsste man es doch mit einer nonce, erlauben können?

                  Kommentar

                  • #10
                    Zitat von strub Beitrag anzeigen

                    Ja aber inline styles werden ja auch geblockt.
                    Wie bitte, erkläre mal bitte was du damit meinst.

                    Kommentar

                    • #11
                      Ja klar, z.B. diese CSS Eigenschaften werden geblockt:

                      Code:
                       
 <div style="background: red;"></div>

                      Kommentar

                      Vorherige Weiter
                      Lädt...
                      X