Ajouter un attribut nonce
aux éléments <script>
Avec une CSP basée sur des nonces, chaque élément <script>
doit comporter un attribut nonce
qui correspond à la valeur de nonce aléatoire spécifiée dans l'en-tête CSP (tous les scripts peuvent avoir le même nonce). La première étape consiste à ajouter les attributs suivants à tous les scripts:
Bloquée par CSP
<script src="/path/to/script.js"></script>
<script>foo()</script>
CSP bloque ces scripts, car ils ne possèdent pas d'attributs "nonce".
Autorisé par CSP
<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>
CSP autorise l'exécution de ces scripts si "${NONCE}" est remplacé par une valeur correspondant au nonce dans l'en-tête de réponse CSP. Notez que certains navigateurs masquent l'attribut "nonce" lors de l'inspection du code source de la page.