הוספת מאפיין nonce לרכיבים של <script>

עם CSP חד-פעמי (CSP), לכל אלמנט <script> חייב להיות מאפיין nonce שתואם לערך האקראי האקראי שצוין בכותרת ה-CSP (כל הסקריפטים יכולים להיות בעלי אותו חד-פעמי (nonce). השלב הראשון הוא להוסיף את המאפיינים האלה לכל הסקריפטים:

נחסם על ידי CSP

<script src="/path/to/script.js"></script>
<script>foo()</script>

מערכת CSP תחסום את הסקריפטים האלה כי אין להם מאפיינים מסוג 'nonce'.

מותר על ידי CSP

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

CSP יאפשר להריץ את הסקריפטים האלה אם '${NONCE}' יוחלף בערך שתואם לצופן החד-פעמי (nonce) בכותרת התגובה של ה-CSP. שימו לב שדפדפנים מסוימים יסתירו את המאפיין 'nonce' כשבודקים את מקור הדף.