问题描述
我使用 PHP 为我的 PayPal 智能按钮内联脚本创建了一个随机数,以符合 CSP。但是我遇到的问题是它是公开的,可以在 Chrome 的开发人员工具中看到。
在 PayPal 网站上,它说要使用 data-csp-nonce
属性,这似乎是问题所在,即使 CSP 没有抱怨脚本,它也已暴露。
![Edit blue-sound-d0h7o](https://codesandbox.io/static/img/play-codesandbox.svg)
如果我只使用 nonce
属性,则不会公开随机数(这是预期的行为),但我在控制台中收到一条错误消息,指出内联脚本不符合 CSP。有什么我在这里遗漏的吗?
解决方法
在页面和标题中暴露随机数是正常的。下一个页面加载将有一个新的随机数,所以知道旧的随机数是没有用的。