Dodaj atrybut nonce do elementów <script>

W przypadku CSP opartej na liczbie jednorazowej każdy element <script> musi mieć atrybut nonce, który pasuje do losowej wartości liczby jednorazowej określonej w nagłówku CSP (wszystkie skrypty mogą mieć tę samą wartość jednorazową). Pierwszym krokiem jest dodanie tych atrybutów do wszystkich skryptów:

Zablokowany przez CSP

<script src="/path/to/script.js"></script>
<script>foo()</script>

CSP zablokuje te skrypty, ponieważ nie mają one atrybutów „nonce”.

Dozwolone przez CSP

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

CSP zezwoli na wykonywanie tych skryptów, jeśli ciąg „${NONCE}” zostanie zastąpiony wartością odpowiadającą liczbie jednorazowej w nagłówku odpowiedzi CSP. Pamiętaj, że podczas sprawdzania źródła strony niektóre przeglądarki ukrywają atrybut „nonce”.