HTTP Content-Security-Policy Nonce e caching

If the nonce must be unique and unpredictable, then one would need to disable all server-side (i.e. Varnish, Cloudfront, etc) caching on the pages that use <script nonce="XXXXX">. Correct?

Sì. Devi sempre disabilitare la memorizzazione nella cache di qualsiasi cosa generata dinamicamente (ad esempio, proviene da uno script). Dal momento che non puoi servire staticamente valori univoci e imprevedibili, deve essere fatto da uno script.

This can be happily cached by the application server for days without negatively impacting the CSP nonce protection.

No. Il nonce dovrebbe essere univoco per ogni richiesta (nonce = numero usato una volta).

Suppongo che l'unica soluzione sia usare SSI non in cache (lato server include) per i tag di script contenenti il nonce e combinarli con il nonce nell'intestazione di sicurezza del contenuto della risposta o un'altra piccola SSI per il meta http-equiv = -tag "Content-Security-politica".

Questo renderà ogni pagina unica e quindi non memorizzabile nella cache.

Dipende quale cache lato server di cui stiamo parlando in quanto ha solitamente molti livelli. Se il server delle applicazioni memorizza nella cache l'HTML per risparmiare su costose query SQL e l'elaborazione dei modelli, è comunque possibile utilizzare nozioni modificando l'output HTML sulla via del ritorno. I tuoi modelli e l'HTML memorizzato nella cache possono contenere segnaposto come questo:

<script nonce="REPLACE_WITH_NONCE">
...
</script>

Questo può essere tranquillamente memorizzato nella cache dal server delle applicazioni per giorni senza influire negativamente sulla protezione nonce CSP.

Il nonce può essere quindi generato dinamicamente sul server web utilizzando OpenResty set_secure_random_alphanum e sostituito nel segnaposto REPLACE_WITH_NONCE con   ngx_http_sub_module