Javascript Pug/Jade未编译nonce属性的值
我需要在脚本和样式元素上使用nonce 我和帕格一起写:Javascript Pug/Jade未编译nonce属性的值,javascript,html,pug,Javascript,Html,Pug,我需要在脚本和样式元素上使用nonce 我和帕格一起写: script(nonce="some-nonce") 它输出: <script nonce></script> 鉴于我期望: <script nonce="some-nonce"></script> 我正在考虑尝试编辑帕格的源代码来解决这个问题,但这将是一个很大的努力 我已经在github上发布了一篇关于这一点的文章,但我想知道是否有人知道解决方案或解决方法?我曾尝试在一个网站
script(nonce="some-nonce")
它输出:
<script nonce></script>
鉴于我期望:
<script nonce="some-nonce"></script>
我正在考虑尝试编辑帕格的源代码来解决这个问题,但这将是一个很大的努力
我已经在github上发布了一篇关于这一点的文章,但我想知道是否有人知道解决方案或解决方法?我曾尝试在一个网站上重现这一点,但没有成功(它按预期工作)。检查画笔的输出,查看属性是否正确复制到:
<script nonce="some-nonce">console.log("test");</script>
console.log(“测试”);
也许这与您的构建系统上过时的帕格版本有关?如果所有其他方法都失败了,您也可以始终在Pug中输入纯HTML(有关此解决方案的演示,请参阅代码笔)。它确实输出了正确的HTML。但是,当使用带有inspect元素的googledev工具时,它不会显示nonce值,但是如果您查看页面源代码,它会显示它
这可能是某种安全措施。在我的页面(localhost)上,我检查了页面的源代码,它显示了nonce。但当我检查元素时,它只是“暂时的”。另外,在添加了我自己的nonce测试之后,我在帕格上运行了npm测试,它通过了。因此,这似乎不是帕格的问题,但在页面加载时有什么东西正在剥离nonce或其他东西。。。nonce的另一种替代方法是使用散列(这是针对Content Security=Policy),但这也不起作用!。。。。很多小时都没有成功,谢谢你的帮助。nonce1有效,noncey有效,只是没有nonce。然而,我才意识到它的意思是“使用过一次的号码”和。。。。我在2个样式/脚本元素上使用了它。。。。哇,我觉得自己像个白痴,只是在测试。。。哦,还是不起作用。我想你已经读过/试过列出的东西了?是的。我也得到了很多朋友的帮助。我发现nonce不应该显示在inspect中。我现在大部分时间都在工作,但有几个问题-其中一个问题是,尽管加载了内联css并应用了它,我还是从CSP收到了控制台错误消息。