Security PayPal智能按钮内联脚本的Nonce_Security_Paypal_Nonce

Security PayPal智能按钮内联脚本的Nonce

security paypal

Security PayPal智能按钮内联脚本的Nonce,security,paypal,nonce,Security,Paypal,Nonce,我用PHP为我的PayPal智能按钮内联脚本创建了一个nonce，以符合CSP。但我的问题是，它是公开的，可以在Chrome的开发工具中看到。在PayPal网站上，它说要使用数据csp nonce属性，这似乎是个问题，因为即使csp没有抱怨脚本，它还是暴露了出来。如果我只使用nonce属性，则随机数不会公开（这是预期的行为），但我在控制台中收到一个错误，表示内联脚本不符合CSP。这里有什么我遗漏的吗？这很正常，用于在页面和标题中公开nonce。下一个页面加载将有一个新的nonce，因此知道

我用PHP为我的PayPal智能按钮内联脚本创建了一个nonce，以符合CSP。但我的问题是，它是公开的，可以在Chrome的开发工具中看到。在PayPal网站上，它说要使用

数据csp nonce

属性，这似乎是个问题，因为即使csp没有抱怨脚本，它还是暴露了出来。

如果我只使用

nonce

属性，则随机数不会公开（这是预期的行为），但我在控制台中收到一个错误，表示内联脚本不符合CSP。这里有什么我遗漏的吗？

这很正常，用于在页面和标题中公开nonce。下一个页面加载将有一个新的nonce，因此知道旧的nonce是无用的。

这是我最初的想法，因为每个http请求都会创建一个新的nonce，但后来我看到了这一点。