Aggiungi un attributo nonce
agli elementi <script>
Con un CSP nonce basato su CSP, ogni elemento <script>
deve avere un attributo nonce
che corrisponde al valore nonce casuale specificato nell'intestazione CSP (tutti gli script possono avere lo stesso nonce). Il primo passaggio consiste nell'aggiungere questi attributi a tutti
gli script:
Bloccata da CSP
<script src="/path/to/script.js"></script>
<script>foo()</script>
CSP bloccherà questi script, perché non hanno attributi "nonce".
Consentito da CSP
<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>
CSP consentirà l'esecuzione di questi script se "${NONCE}" viene sostituito con un valore corrispondente al nonce nell'intestazione della risposta CSP. Tieni presente che alcuni browser nascondono l'attributo "nonce" durante l'ispezione dell'origine della pagina.