Anúncios incomodam? Ir Sem anúncios Hoje 

Gerador de Nonce Criptográfico

Desenvolvedor

ANÚNCIO · REMOVER?

ENTRADA

Processo Automático

SAÍDA

Lado cliente

Nonce(s) Gerado(s)

Exemplos de Uso

Cabeçalho CSP

Tag de Script HTML

Parâmetro de Estado OAuth

Token CSRF

Cookie de ID de Sessão

O que é um Nonce?

ANÚNCIO · REMOVER?

Guia

Gerador de Nonce Criptográfico

Gere nonces criptograficamente seguros (números usados uma vez) para cabeçalhos CSP, parâmetros de estado OAuth, tokens CSRF, IDs de sessão e muito mais. Usa crypto.getRandomValues() para aleatoriedade verdadeira — sem fallback Math.random(). Saída em formato hexadecimal, Base64, Base64url ou array decimal. Tudo roda no seu navegador; nada é enviado a nenhum servidor.

Como usar

Selecione um comprimento de byte (8, 16, 24, 32 ou 64 bytes, ou insira um comprimento personalizado), escolha seu formato de saída (hex, Base64, Base64url ou array decimal) e defina quantos nonces gerar. Os valores são gerados automaticamente conforme você altera as configurações. Copie nonces individuais ou use os exemplos de uso pré-formatados que são preenchidos automaticamente com seu nonce gerado para cabeçalhos CSP, tags de script HTML, parâmetros de estado OAuth, tokens CSRF e cookies de sessão.

Características

Aleatoriedade Criptográfica — Usa exclusivamente crypto.getRandomValues(). Sem fallback Math.random(). Produz bytes aleatórios criptograficamente seguros da fonte de entropia do sistema operacional.
Vários formatos de saída — Hexadecimal (minúsculo), Base64 (padrão), Base64url (seguro para URL, sem preenchimento) e array de bytes decimais. Cada formato adequado para diferentes casos de uso.
Comprimento de Byte Configurável — Comprimentos predefinidos (8, 16, 24, 32, 64 bytes) ou personalizado. A exibição de entropia mostra bits de aleatoriedade (bytes × 8).
Geração em massa — Gere até 100 nonces de uma vez, cada um com botão de cópia individual.
Exemplos de Uso — Snippets de código pré-formatados preenchidos automaticamente com seu nonce: cabeçalho CSP, atributo nonce de script HTML, parâmetro de estado OAuth, entrada oculta CSRF e cookie de sessão.
Exibição de Entropia — Mostra bits de entropia para o comprimento de byte configurado, para que você possa verificar se seu nonce atende aos requisitos de segurança.
Cliente 100% — Nada sai do seu navegador. Sem requisições ao servidor, sem logs. Seus nonces permanecem privados.

O que é um Nonce?

Um nonce (“número usado uma vez”) é um valor aleatório que deve ser usado apenas uma única vez. Em criptografia e segurança web, nonces previnem ataques de repetição, cross-site scripting (XSS) e falsificação de requisição. O requisito principal é a imprevisibilidade — um atacante não deve conseguir adivinhar o valor do nonce, e é por isso que a aleatoriedade criptográfica (não pseudo-aleatória) é essencial.

ANÚNCIO · REMOVER?

Qual a diferença entre um nonce e um token aleatório?

Um nonce é especificamente um “número usado uma vez” — ele deve ser único para cada uso e nunca deve ser reutilizado. Um token aleatório é um termo mais amplo para qualquer valor aleatório usado para autenticação ou identificação. Na prática, nonces criptográficos são tokens aleatórios com a restrição adicional de uso único. Nones CSP devem ser regenerados a cada carregamento de página. Parâmetros de estado OAuth devem ser únicos por requisição de autorização. Tokens CSRF devem ser únicos por sessão ou por requisição. O método de geração é o mesmo (aleatoriedade criptográfica), mas o padrão de uso difere.

Por que não usar Math.random() para nonces?

Math.random() usa um gerador de números pseudo-aleatórios (PRNG) que NÃO é criptograficamente seguro. Sua saída é determinística — se um atacante souber o estado interno, ele poderá prever valores futuros. Navegadores modernos usam xorshift128+ ou algoritmos semelhantes para Math.random(), que são rápidos, mas previsíveis. crypto.getRandomValues() usa o gerador de números aleatórios criptográficos do sistema operacional (CSPRNG), que obtém entropia de eventos de hardware, tornando sua saída imprevisível mesmo para um atacante que conheça o algoritmo. Para qualquer valor sensível à segurança, sempre use crypto.getRandomValues().

Quantos bytes meu nonce deve ter?

Depende do caso de uso. Para nonces CSP, 16 bytes (128 bits) é o mínimo recomendado — suficiente para prevenir adivinhação por força bruta. Para parâmetros de estado OAuth, 16-32 bytes é o padrão. Para tokens CSRF, mínimo de 16 bytes. Para IDs de sessão, 32 bytes (256 bits) oferece uma margem de segurança muito confortável. A regra geral: 128 bits (16 bytes) de entropia é considerado computacionalmente infactível de adivinhar por força bruta com a tecnologia atual. 256 bits oferece segurança contra ataques teóricos de computação quântica.

O que é Base64url e quando devo usá-lo?

Base64url é uma variante segura para URL da codificação Base64. A Base64 padrão usa os caracteres + e /, que têm significado especial em URLs e podem causar problemas em parâmetros de consulta, cookies e nomes de arquivos. Base64url substitui + por – e / por _, e omite o preenchimento =. Use Base64url para parâmetros de estado OAuth, valores de consulta de URL, tokens JWT, valores de cookie e qualquer contexto onde o nonce aparecerá em uma URL ou cabeçalho HTTP. Use Base64 padrão para nonces CSP (a especificação espera Base64 padrão) e contextos onde a segurança de URL não é uma preocupação.

Quer eliminar anúncios? Fique sem anúncios hoje mesmo

