ids/18/439.txt

* [CODE(HTTP)@en[nonce]] 引数 (auth-param)

** 仕様書

[REFS[
- [3] [CITE@en[RFC 7616 - HTTP Digest Access Authentication]] ([TIME[2015-11-10 07:05:08 +09:00]] 版) <https://tools.ietf.org/html/rfc7616#section-3.3>
]REFS]

** 意味

[10] [[nonce]] は、 [CODE(HTTP)[[[401]]]] [[応答]]の作成の度に毎回固有に[[生成]]するべき、
[[サーバー]]が指定する[[文字列]]です。 [SRC[>>3]]

[14] [[nonce]] は[[クライアント]]にとっては[[不透明]]です [SRC[>>3]]。

** 構文

[17] [CODE(ABNF)@en[[[auth-param]]]] 
の[[引用文字列]]構文を使わなければ[['''なりません''']] [SRC[>>3]]。

[11] [[nonce]] は、 [[Base64]] や[[十六進数]]で表記した[[文字列]]とすると[RUBYB[いいです]@en[advise]]。
[SRC[>>3]]

[12] 具体的な内容は、[[実装依存]]です [SRC[>>3]]。

** 文脈

[15] [CODE(HTTP)@en[[[nonce]]]] [[引数]]は、[[ダイジェスト認証]]の [[challenge]]
に指定できます [SRC[>>3]]。

** 処理

[13] 実装は、[[replay攻撃]]を防ぐため、前に使われた [[nonce]]
の再利用を認めないこととできます。 [SRC[>>3]]

[16] [CODE[[[response]]]] [[引数]]の値の計算に使われます。

** 歴史

[REFS[
- [1] [CITE@en[RFC 2069 - An Extension to HTTP : Digest Access Authentication]] ([TIME[2012-02-26 10:05:21 +09:00]] 版) <http://tools.ietf.org/html/rfc2069#page-5>
- [4] [CITE@en[RFC 2617 - HTTP Authentication: Basic and Digest Access Authentication]] ([TIME[2012-01-09 21:04:30 +09:00]] 版) <http://tools.ietf.org/html/rfc2617#section-3.2.1>
]REFS]

* nonce (CSP、HTML)

** 歴史

[5] [CITE@en[Bug 26081 – Consider defining or mentioning the nonce attribute]]
( ([TIME[2014-06-14 02:59:38 +09:00]] 版))
<https://www.w3.org/Bugs/Public/show_bug.cgi?id=26081>

[2] [CITE@en[Merge pull request #171 from fmarier/csp2-remove-base64url · b4ab556 · w3c/webappsec]]
([TIME[2015-02-11 16:36:15 +09:00]] 版)
<https://github.com/w3c/webappsec/commit/b4ab55679f2261b05db896bd9399f25bc1314787>

[7] [CITE@en[Call out to CSP's inline element hooks · whatwg/html@ee3486e]]
([TIME[2015-11-08 16:32:08 +09:00]] 版)
<https://github.com/whatwg/html/commit/ee3486eb129bc350b5ca684d0c91dff23453ac1a>

[8] [CITE@en[Define script@nonce and style@nonce attributes · whatwg/html@882803c]]
([TIME[2015-11-12 00:04:23 +09:00]] 版)
<https://github.com/whatwg/html/commit/882803c4cc8fba2fa5472b76f628d95cc82c421d>

[9] [CITE@en[Accept base64url characters in nonces and hashes. · w3c/webappsec-csp@b4c5543]]
([TIME[2015-11-20 18:45:10 +09:00]] 版)
<https://github.com/w3c/webappsec-csp/commit/b4c5543c350417eb24f1f33247defe20e3430643>

* メモ

[6] [CITE@ja-jp[ナンス ‐ 通信用語の基礎知識]]
([TIME[2015-07-14 22:47:40 +09:00]] 版)
<http://www.wdic.org/w/WDIC/%E3%83%8A%E3%83%B3%E3%82%B9>