¿Odias los anuncios? Ir Sin publicidad Hoy 

Generador de Nonce Criptográfico

Desarrollador

ANUNCIO · ¿ELIMINAR?

APORTE

Proceso automático

PROD.

Lado cliente

Nonces generados

Ejemplos de uso

Encabezado CSP

Etiqueta de script HTML

Parámetro de estado OAuth

Token CSRF

Cookie de ID de sesión

¿Qué es un Nonce?

ANUNCIO · ¿ELIMINAR?

Guía

Generador de Nonce Criptográfico

Genera nonces criptográficamente seguros (números de un solo uso) para encabezados CSP, parámetros de estado OAuth, tokens CSRF, IDs de sesión y más. Utiliza crypto.getRandomValues() para una aleatoriedad real — sin respaldo Math.random(). Salida en formato hexadecimal, Base64, Base64url o matriz decimal. Todo se ejecuta en tu navegador; nada se envía a ningún servidor.

Cómo Usar

Selecciona una longitud de bytes (8, 16, 24, 32 o 64 bytes, o introduce una longitud personalizada), elige tu formato de salida (hexadecimal, Base64, Base64url o matriz decimal) y establece cuántos nonces generar. Los valores se generan automáticamente al cambiar la configuración. Copia nonces individuales o utiliza los ejemplos de uso preformateados que se autocompletan con tu nonce generado para encabezados CSP, etiquetas de script HTML, parámetros de estado OAuth, tokens CSRF y cookies de sesión.

Características

Aleatoriedad Criptográfica — Utiliza exclusivamente crypto.getRandomValues(). Sin respaldo Math.random(). Produce bytes aleatorios criptográficamente seguros a partir de la fuente de entropía del sistema operativo.
Formatos de salida múltiples — Hexadecimal (minúsculas), Base64 (estándar), Base64url (seguro para URL, sin relleno) y matriz de bytes decimales. Cada formato es adecuado para diferentes casos de uso.
Longitud de bytes configurable — Longitudes preestablecidas (8, 16, 24, 32, 64 bytes) o personalizadas. La visualización de entropía muestra bits de aleatoriedad (bytes × 8).
Generación en masa — Genera hasta 100 nonces a la vez, cada uno con un botón de copia individual.
Ejemplos de uso — Fragmentos de código preformateados con tu nonce: encabezado CSP, atributo nonce de script HTML, parámetro de estado OAuth, campo oculto CSRF y cookie de sesión.
Visualización de entropía — Muestra bits de entropía para la longitud de bytes configurada para que puedas verificar que tu nonce cumple los requisitos de seguridad.
Cliente 100% — Nada sale de tu navegador. Sin solicitudes al servidor, sin registros. Tus nonces permanecen privados.

¿Qué es un Nonce?

Un nonce ("número de un solo uso") es un valor aleatorio que solo debe usarse una vez. En criptografía y seguridad web, los nonces previenen ataques de repetición, scripting entre sitios (XSS) y falsificación de solicitudes. El requisito clave es la impredecibilidad — un atacante no debe poder adivinar el valor del nonce, por lo que la aleatoriedad criptográfica (no pseudoaleatoria) es esencial.

ANUNCIO · ¿ELIMINAR?

¿Cuál es la diferencia entre un nonce y un token aleatorio?

Un nonce es específicamente un "número de un solo uso" — debe ser único para cada uso y nunca debe reutilizarse. Un token aleatorio es un término más amplio para cualquier valor aleatorio utilizado para autenticación o identificación. En la práctica, los nonces criptográficos son tokens aleatorios con la restricción adicional de un solo uso. Los nonces CSP deben regenerarse en cada carga de página. Los parámetros de estado OAuth deben ser únicos por solicitud de autorización. Los tokens CSRF deben ser únicos por sesión o por solicitud. El método de generación es el mismo (aleatoriedad criptográfica), pero el patrón de uso difiere.

¿Por qué no usar Math.random() para los nonces?

Math.random() utiliza un generador de números pseudoaleatorios (PRNG) que NO es criptográficamente seguro. Su salida es determinista — si un atacante conoce el estado interno, puede predecir valores futuros. Los navegadores modernos utilizan xorshift128+ o algoritmos similares para Math.random(), que son rápidos pero predecibles. crypto.getRandomValues() utiliza el generador de números aleatorios criptográficos del sistema operativo (CSPRNG), que extrae entropía de eventos de hardware, haciendo que su salida sea impredecible incluso para un atacante que conozca el algoritmo. Para cualquier valor sensible a la seguridad, utiliza siempre crypto.getRandomValues().

¿Cuántos bytes debe tener mi nonce?

Depende del caso de uso. Para nonces CSP, se recomiendan 16 bytes (128 bits) como mínimo — suficiente para prevenir ataques de fuerza bruta. Para parámetros de estado OAuth, 16-32 bytes es estándar. Para tokens CSRF, 16 bytes como mínimo. Para IDs de sesión, 32 bytes (256 bits) proporcionan un margen de seguridad muy cómodo. La regla general: 128 bits (16 bytes) de entropía se consideran computacionalmente irrealizables para forzar mediante fuerza bruta con la tecnología actual. 256 bits proporcionan seguridad contra ataques teóricos de computación cuántica.

¿Qué es Base64url y cuándo debería usarlo?

Base64url es una variante segura para URL de la codificación Base64. El Base64 estándar utiliza caracteres + y / que tienen un significado especial en las URL y pueden causar problemas en parámetros de consulta, cookies y nombres de archivo. Base64url reemplaza + por – y / por _, y omite el relleno =. Usa Base64url para parámetros de estado OAuth, valores de consulta de URL, tokens JWT, valores de cookies y cualquier contexto donde el nonce aparezca en una URL o encabezado HTTP. Usa Base64 estándar para nonces CSP (la especificación espera Base64 estándar) y contextos donde la seguridad de URL no sea una preocupación.

¿Quieres eliminar publicidad? Adiós publicidad hoy

