<script> 요소에 nonce 속성 추가

nonce 기반 CSP를 사용하면 모든 <script> 요소에 CSP 헤더에 지정된 임의의 nonce 값과 일치하는 nonce 속성이 있어야 합니다 (모든 스크립트가 동일한 nonce를 가질 수 있음). 첫 번째 단계는 이러한 속성을 모든 스크립트에 추가하는 것입니다.

CSP에 의해 차단됨

<script src="/path/to/script.js"></script>
<script>foo()</script>

이러한 스크립트는 `nonce` 속성이 없으므로 CSP에서 이러한 스크립트를 차단합니다.

CSP에서 허용됨

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

`${NONCE}`가 CSP 응답 헤더의 nonce와 일치하는 값으로 대체되면 CSP는 이러한 스크립트의 실행을 허용합니다. 일부 브라우저에서는 페이지 소스를 검사할 때 `nonce` 속성을 숨깁니다.