問題タブ [nwebsec]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net - NWebSec で Swagger を使用する
サブフォルダーに Web API を含む ASP.NET MVC Web サイトがあります。サイト自体には NWebSec で実装された CSP があり、スクリプト タグの使用を防ぎます。
API に Swagger を追加しましたが、インライン スクリプト タグを使用するため、CSP は自動生成された Swagger UI の読み込みを妨げます。
Swagger ページのみにインライン スクリプト タグを許可する方法を見つける必要があります。
CSP 用の別のパッケージでこれを達成するためのこの役立つ記事を見つけ、同様のことを試みましたが、うまくいきませんでした。 https://mderriey.com/2020/12/14/how-to-lock-down-csp-using-swachbuckle/
誰かがこれを行う方法を知っているなら、私に知らせてください!
asp.net-core - NWebSec によって生成された nonce を別の属性に追加する
NWebSec を使用して、ノンスをスクリプト タグに追加しています。
ただし、ナンスを別の属性に追加する必要があるため、次のようにする必要があります。
これは NWebSec で可能ですか、それとも生成された nonce にはどのような方法でもアクセスできませんか?
文脈上、これは Google タグマネージャに nonce をカスタム HTML スクリプトに伝播させようとするものです。
編集
以下の提案された解決策はうまくいくようです。したがって、これを GTM スクリプトに追加する必要がありました。
nonce を受け取り、それを data-nonce 属性に追加します。最も良い解決策ではありません。バックエンドで nonce にアクセスできるようにしたいです。