Keine Werbung mögen? Gehen Werbefrei Heute 

Kryptografischer Nonce-Generator

Entwickler

ANZEIGE Entfernen?

EINGANG

Automatischer Prozess

AUSGABE

Client-Seite

Erzeugte Nicht-Zahlen (Nonsens-Wörter)

Beispiele zur Verwendung

Kontent-Sicherheits-Policy-Header

HTML-Skripttag

OAuth-State-Parameter

CSRF-Token

Sitzungs-ID-Kochie

Was ist ein **Nonce**?

ANZEIGE Entfernen?

Führung

Kryptografischer Nonce-Generator

Erzeuge kryptografisch sichere Einmalnummern (Nonces) für CSP-Header, OAuth-Zustandsparameter, CSRF-Tokens, Sitzungsidentifikatoren und weitere Zwecke. Nutzt `crypto.getRandomValues()` für echte Zufallszahlenerzeugung – kein Fallback auf `Math.random()`. Ausgabe in Hexadezimal-, Base64-, Base64url- oder Dezimalarrayformat. Alles läuft im Browser; nichts wird an einen Server gesendet.

Nutzung

Wählen Sie eine Byte-Länge (8, 16, 24, 32 oder 64 Bytes oder geben Sie eine individuelle Länge ein), wählen Sie Ihr Ausgabeformat (hexadezimal, Base64, Base64url oder Dezimalarray) und legen Sie fest, wie viele Nonces generiert werden sollen. Die Werte werden automatisch angezeigt, sobald Sie die Einstellungen ändern. Kopieren Sie einzelne Nonces oder nutzen Sie die vorformatierten Beispielnutzungen, die sich automatisch mit Ihrer erzeugten Nonce für CSP-Header, HTML-Skripttags, OAuth-Zustandsparameter, CSRF-Tokens und Sitzungskochien füllen.

Funktionen

Kryptografische Zufälligkeit — Wird ausschließlich mit `crypto.getRandomValues()` verwendet. Keine Fallback auf `Math.random()`. Erzeugt sichere Zufallsbytes aus der Betriebssystem-Entropiequelle.
Mehrere Ausgabeformate — Hex (gesenkt), Base64 (Standard), Base64url (URL-sicher, ohne Padding) und Dezimalbytearray. Jede Formatvariante eignet sich für unterschiedliche Anwendungsfälle.
Anpassbare Bitlänge Voreingestellte Längen (8, 16, 24, 32, 64 Bytes) oder individuell anpassbar. Die Entropieanzeige zeigt die Zufälligkeitsbits (Bytes × 8).
Großraumgenerierung Erzeuge bis zu 100 Einmalige Tokens gleichzeitig, jedes mit einem eigenen Kopierknopf.
Beispiele zur Verwendung — Vorformatierte Code-Snippets automatisch mit Ihrem Nonce gefüllt: CSP-Header, HTML-Skript-Nonce-Attribut, OAuth-Staat-Parameter, CSRF-Verstecktes Eingabefeld und Sitzungs-Kochies.
Entropieanzeige Zeigt Bruchstücke von Entropie für die konfigurierte Byte-Länge an, damit Sie prüfen können, ob Ihr Nonce die Sicherheitsanforderungen erfüllt.
100% Clientseitig Nichts bleibt in deinem Browser zurück. Keine Serveranfragen, keine Protokollierung. Deine Nonces bleiben privat.

Was ist ein Nonce?

Ein einmaliger Wert („einmal verwendeter Zahl“) ist eine zufällige Zahl, die nur ein einziges Mal verwendet werden sollte. In der Kryptographie und Websicherheit verhindern Nonces Wiederholungsangriffe, Quellenscripting (XSS) und Anforderungsmanipulationen. Die entscheidende Anforderung ist Unvorhersehbarkeit – ein Angreifer muss den Wert des Nonce nicht erraten können, weshalb kryptographische Zufallsgenerierung (nicht pseudo-zufällig) essenziell ist.

ANZEIGE Entfernen?

Was ist der Unterschied zwischen einem Nonce und einem zufälligen Token?

Ein Nonce ist spezifisch ein „einmal verwendetes Zahl“ – es muss für jede Verwendung einzigartig sein und sollte nie wiederverwendet werden. Ein zufälliger Token ist ein breiter Begriff für jeden zufälligen Wert, der zur Authentifizierung oder Identifikation verwendet wird. In der Praxis sind kryptografische Nonces zufällige Tokens mit dem zusätzlichen Constraint der einmaligen Verwendung. CSP-Nonces müssen bei jeder Seitenladung neu generiert werden. OAuth-State-Parameter müssen pro Autorisationsanfrage einzigartig sein. CSRF-Tokens sollten pro Sitzung oder pro Anfrage einzigartig sein. Die Generierungsmethode ist dieselbe (kryptografische Zufälligkeit), aber das Verwendungsmuster unterscheidet sich.

Warum nicht für Nonces die Funktion `Math.random()` verwenden?

Die Funktion `Math.random()` verwendet einen pseudo-zufälligen Zahlengenerator (PRNG), der **nicht** kryptographisch sicher ist. Seine Ausgabe ist deterministisch – wenn ein Angreifer den internen Zustand kennt, kann er zukünftige Werte vorhersagen. Moderne Browser verwenden Algorithmen wie `xorshift128+` oder ähnliche für `Math.random()`, die schnell, aber vorhersehbar sind. Die Funktion `crypto.getRandomValues()` nutzt den kryptographischen Zufallszahlengenerator des Betriebssystems (CSPRNG), der Entropie aus Hardwareereignissen zieht und dessen Ausgabe selbst dann unvorhersehbar ist, wenn ein Angreifer das Algorithmus-Know-how besitzt. Für jeden sicherheitskritischen Wert sollte man immer `crypto.getRandomValues()` verwenden.

Wie viele Bytes sollte mein Nonce haben?

Es kommt auf den Anwendungsfall an. Für CSP-Nonces empfiehlt sich mindestens **16 Bytes (128 Bit)**, ausreichend, um eine brutale Ausprobierung auszuschließen. Bei OAuth-State-Parametern sind 16–32 Bytes Standard. Für CSRF-Tokens gilt ein Mindestwert von 16 Bytes. Bei Session-ID müssen **32 Bytes (256 Bit)** für einen sicheren Puffer sorgen. Die allgemeine Regel: **128 Bit (16 Bytes) Entropie** ist gegen heutige Technologie rechnerisch nicht durchschlagbar. **256 Bit** bietet Schutz vor theoretischen Angriffen durch Quantencomputer.

Was ist Base64url und wann sollte ich es verwenden?

Base64url ist eine URL-sichere Variante der Base64-Übersetzung. Standard-Base64 verwendet die Zeichen + und /, die in URLs einen besonderen Sinn haben und bei Abfragen, Cookies oder Dateinamen Probleme verursachen können. Base64url ersetzt + durch – und / durch _, und weicht das =-Padding aus. Verwenden Sie Base64url für OAuth-State-Parameter, URL-Abfragewerte, JWT-Tokens, Cookie-Werte und alle Kontexte, in denen der Nonce in einer URL oder HTTP-Kopfzeile erscheint. Verwenden Sie Standard-Base64 für CSP-Nonces (die Spezifikation erwartet Standard-Base64) und Kontexte, in denen die URL-Sicherheit keine Rolle spielt.

Möchten Sie werbefrei genießen? Werde noch heute werbefrei



 Erweiterungen installieren

IO-Tools zu Ihrem Lieblingsbrowser hinzufügen für sofortigen Zugriff und schnellere Suche

恵 Die Anzeigetafel ist eingetroffen!

Anzeigetafel ist eine unterhaltsame Möglichkeit, Ihre Spiele zu verfolgen. Alle Daten werden in Ihrem Browser gespeichert. Weitere Funktionen folgen in Kürze!

ANZEIGE Entfernen?