เพิ่มแอตทริบิวต์ nonce
ลงในองค์ประกอบ <script>
เมื่อใช้ CSP แบบ nonce องค์ประกอบ <script>
ทุกรายการต้องมีแอตทริบิวต์ nonce
ซึ่งตรงกับค่า Nonce แบบสุ่มที่ระบุในส่วนหัว CSP (สคริปต์ทั้งหมดจะมี Nonce เหมือนกัน) ขั้นตอนแรกคือเพิ่มแอตทริบิวต์เหล่านี้ลงในสคริปต์ทั้งหมด
ถูกบล็อกโดย CSP
<script src="/path/to/script.js"></script>
<script>foo()</script>
CSP จะบล็อกสคริปต์เหล่านี้เนื่องจากไม่มีแอตทริบิวต์ "nonce"
อนุญาตโดย CSP
<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>
CSP จะอนุญาตการดำเนินการของสคริปต์เหล่านี้หากแทนที่ "${NONCE}" ด้วยค่าที่ตรงกับ Nonce ในส่วนหัวการตอบกลับของ CSP โปรดทราบว่าบางเบราว์เซอร์จะซ่อนแอตทริบิวต์ "nonce" เมื่อตรวจสอบแหล่งที่มาของหน้าเว็บ