<script>-Elementen ein nonce-Attribut hinzufügen

Bei einer nonce-basierten CSP muss jedes <script>-Element ein nonce-Attribut haben, das mit dem zufälligen Nonce-Wert im CSP-Header übereinstimmt (alle Skripts können dieselbe Nonce haben). Der erste Schritt besteht darin, diese Attribute allen Skripts hinzuzufügen:

Vom CSP blockiert

<script src="/path/to/script.js"></script>
<script>foo()</script>

Die CSP blockiert diese Skripts, da sie keine Nonce-Attribute haben.

Von CSP zugelassen

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

Die CSP lässt die Ausführung dieser Skripts zu, wenn „${NONCE}“ durch einen Wert ersetzt wird, der mit der Nonce im CSP-Antwortheader übereinstimmt. Beachten Sie, dass einige Browser das Attribut „nonce“ beim Prüfen des Seitenquelltextes ausblenden.