Aggiungi un attributo nonce agli elementi <script>

Con un CSP nonce basato su CSP, ogni elemento <script> deve avere un attributo nonce che corrisponde al valore nonce casuale specificato nell'intestazione CSP (tutti gli script possono avere lo stesso nonce). Il primo passaggio consiste nell'aggiungere questi attributi a tutti gli script:

Bloccata da CSP

<script src="/path/to/script.js"></script>
<script>foo()</script>

CSP bloccherà questi script, perché non hanno attributi "nonce".

Consentito da CSP

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

CSP consentirà l'esecuzione di questi script se "${NONCE}" viene sostituito con un valore corrispondente al nonce nell'intestazione della risposta CSP. Tieni presente che alcuni browser nascondono l'attributo "nonce" durante l'ispezione dell'origine della pagina.