เพิ่มแอตทริบิวต์ nonce ลงในองค์ประกอบ <script>

เมื่อใช้ CSP แบบ nonce องค์ประกอบ <script> ทุกรายการต้องมีแอตทริบิวต์ nonce ซึ่งตรงกับค่า Nonce แบบสุ่มที่ระบุในส่วนหัว CSP (สคริปต์ทั้งหมดจะมี Nonce เหมือนกัน) ขั้นตอนแรกคือเพิ่มแอตทริบิวต์เหล่านี้ลงในสคริปต์ทั้งหมด

ถูกบล็อกโดย CSP

<script src="/path/to/script.js"></script>
<script>foo()</script>

CSP จะบล็อกสคริปต์เหล่านี้เนื่องจากไม่มีแอตทริบิวต์ "nonce"

อนุญาตโดย CSP

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

CSP จะอนุญาตการดำเนินการของสคริปต์เหล่านี้หากแทนที่ "${NONCE}" ด้วยค่าที่ตรงกับ Nonce ในส่วนหัวการตอบกลับของ CSP โปรดทราบว่าบางเบราว์เซอร์จะซ่อนแอตทริบิวต์ "nonce" เมื่อตรวจสอบแหล่งที่มาของหน้าเว็บ