角CSP

Question

我正在为一个角+ ASP项目实现CSP。因为我们必须运行动态js文件，所以我尝试用“严格-动态”来实现script-src。

到目前为止，我是用静态的nonce实现的(这显然不是很好的实践)：

file.

• Published

• 在csp策略中添加了脚本-src“严格-动态”--RandomNumber‘，dotnet的项目通过向所有绑定的脚本文件

添加nonce=RandomNumber，在publish/ClientApp/index.html中发布-c Release -o my索引文件

这很管用。我的问题是：

1. 如何使这个过程自动化并发布我的项目？
2. 如何能够拥有一个执行类似于动态的非can的自动化过程？或者是一个自动过程，它不使用the，而是读取编译的角项目中的绑定散列，并在startup.cs文件？

中更新我的策略。

Answer 1

我使用角自定义构建器将添加到index.html文件中的每个脚本中。

然后，我添加了一个中间件，它生成一个动态的当前并设置“”。，我现在需要的是，在为index.html服务时，用生成的nonce替换RandomNumber。