Я ищу хороший способ реализации относительно сильного заголовка Content-Security-Policy для моего приложения ASP.NET WebForms. Я сохраняю как можно больше JavaScript в файлах вместо встроенных, но по умолчанию WebForms внедряет много встроенных script для таких простых вещей, как подача формы и основные вызовы AJAX.
MVC имеет несколько простых способов реализации nonces, особенно с помощью сторонних библиотек, таких как NWebsec, но я не могу найти методов их реализации с помощью WebForms. У меня даже не возникло бы проблемы с использованием хэшей, если бы был способ предсказать и получить хеш для каждого тега .NET с тегом script.
Я ненавижу использование значения "небезопасно-встроенное". Неправильно нужно отключить такую мощную функцию безопасности. Есть ли разумный способ реализовать его в WebForms?