Es gibt einen Artikel über das HTTP Headers Plugin im Joomla Magazine, den ich vor ein paar Monaten ins Deutsche übertragen habe. Da ist dieses 'nonce' erläutert (ziemich weit unten).
Bitteschön:
Genial, vielen Dank CurlY BracketS !
Noch eine kleine Frage. Meine Zeichenkette bleiben im Quelltext vorhanden. (Cache gelöscht)
ZitatGleichzeitig wird die Nonce-Zeichenkette aus dem gerenderten HTML-Code des Browsers entfernt.
...auch separat versucht.
Na ja, wenn du Nonces aktivierst, werden sie generiert und eingesetzt. Zumindest in einer "sauber" arbeitenden Joomla 4, die Web Asset Manager verwendet.
Und nebenbei: Unter aktuellen Joomla 4 braucht man die Platzhalter {nonce} und {script-hashes} nicht mehr. Tun zwar nicht weh, aber beschäftigen nur die Browser-Konsole mit unnötigem Gemecker.
Und meines Erachtens sind Nonces ausreichend und script-hashes dann nicht zusätzlich nötig.
Nur nebenbei für Programmierung: Ein Vorteil der Nonces ist, dass er pro Seitenlauf immer 1 eindeutiger Wert ist, den man abgreifen kann via
$dasNonce = Factory::getApplication()->get('csp_nonce', '');wenn man das Nonce irgenwo benötigt, um hart einkodierte <script>, <style> etc. ebenfalls zu "noncen" oder ähnlichen Quatsch.
EDIT: Auch nur nebenbei: Wenn man unter J3 schon das alte Plugin selbst installiert hatte, wird das bei einer Migration nicht entfernt und man hat 2 solche Plugins. Das alte dann halt händisch deinstallieren, nachdem man die Einstellungen ins neue übernommen hat.