Con un CSP basato su nonce, ogni elemento <script> deve avere un attributo nonce corrispondente al valore nonce casuale specificato nell'intestazione del CSP (tutti gli script possono avere lo stesso nonce). Il primo passaggio consiste nell'aggiungere questi attributi a tutti gli script:

Bloccato dal CSP

<script src="/path/to/script.js"></script>
<script>foo()</script>

CSP bloccherà questi script perché non hanno attributi "nonce".

Consentito dal CSP

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

Il CSP consentirà l'esecuzione di questi script se "${NONCE}" viene sostituito con un valore corrispondente al nonce nell'intestazione di risposta del CSP. Tieni conto che alcuni browser nascondono l'attributo "nonce" quando ispezionano il codice sorgente della pagina.