Ajouter un attribut nonce aux éléments <script>

Avec une CSP basée sur des nonces, chaque élément <script> doit comporter un attribut nonce qui correspond à la valeur de nonce aléatoire spécifiée dans l'en-tête CSP (tous les scripts peuvent avoir le même nonce). La première étape consiste à ajouter les attributs suivants à tous les scripts:

Bloquée par CSP

<script src="/path/to/script.js"></script>
<script>foo()</script>

CSP bloque ces scripts, car ils ne possèdent pas d'attributs "nonce".

Autorisé par CSP

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

CSP autorise l'exécution de ces scripts si "${NONCE}" est remplacé par une valeur correspondant au nonce dans l'en-tête de réponse CSP. Notez que certains navigateurs masquent l'attribut "nonce" lors de l'inspection du code source de la page.