یک ویژگی nonce به عناصر <script> اضافه کنید

با یک CSP مبتنی بر nonce، هر عنصر <script> باید یک ویژگی nonce داشته باشد که با مقدار nonce تصادفی مشخص شده در هدر CSP مطابقت داشته باشد (همه اسکریپت ها می توانند nonce یکسانی داشته باشند). اولین قدم این است که این ویژگی ها را به همه اسکریپت ها اضافه کنید:

توسط CSP مسدود شده است

<script src="/path/to/script.js"></script>
<script>foo()</script>

CSP این اسکریپت ها را مسدود می کند، زیرا آنها ویژگی های "nonce" ندارند.

توسط CSP مجاز است

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

اگر «${NONCE}» با مقداری مطابق با nonce در سرصفحه پاسخ CSP جایگزین شود، CSP اجازه اجرای این اسکریپت ها را می دهد. توجه داشته باشید که برخی از مرورگرها هنگام بررسی منبع صفحه، ویژگی "nonce" را پنهان می کنند.