Derzeit versuche ich eine Inhaltssicherheitsrichtlinie auf einer WordPress-Landing-Seite zu implementieren. Ich bin mit dem folgenden Header-Methode in PHP ein Content Security Policy zu implementieren:Wie implementiert man Content Security Policy mit WordPress Nonces in PHP mit PHP Header-Methode?
header("Content-Security-Policy:default-src 'none'; script-src 'nonce-RandomSeq' 'nonce-hzthedtrh5' 'nonce-hjjftzrf56zf' ... ")
Und ich bin versucht, WordPress Nonce zu verwenden, um zufällige Nonces für einen Inline-Javascript-Code
<?php
$nonce = wp_create_nonce('my-nonce'); ?>
<script type="text/javascript" nonce="<?php echo $nonce; ?>">
// some javascript code
</script>
Dieses Beispiel Werke zu erstellen wenn ich specifiy die Nonce mit einem String wie „435234JHHJK2“, aber wenn ich versuche, eine Variable in der Kopfzeile wie folgt zu setzen:
header("Content-Security-Policy:default-src 'none'; script-src 'nonce-".$nonce."' 'nonce-hzthedtrh5' 'nonce-hjjftzrf56zf' ... ")
die zufällige Nonce, erstellt by wp-nonce wird nicht erkannt und das angegebene Skript wird nicht ausgeführt.
Also, was mache ich falsch?