Agrega un atributo nonce a los elementos <script>

Con una CSP basada en nonce, cada elemento <script> debe tener un atributo nonce que coincida con el valor aleatorio del nonce especificado en el encabezado de la CSP (todas las secuencias de comandos pueden tener el mismo nonce). El primer paso es agregar estos atributos a todas las secuencias de comandos:

Bloqueado por CSP

<script src="/path/to/script.js"></script>
<script>foo()</script>

La CSP bloqueará estas secuencias de comandos porque no tienen atributos "nonce".

Permitido por CSP

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

La CSP permitirá la ejecución de estas secuencias de comandos si se reemplaza `${NONCE}` por un valor que coincide con el nonce en el encabezado de respuesta de la CSP. Ten en cuenta que algunos navegadores ocultarán el atributo "nonce" cuando inspeccionen la fuente de la página.