<script> öğelerine nonce özelliği ekleyin

Nonce tabanlı bir CSP'de her <script> öğesinde, CSP başlığında belirtilen rastgele tek seferlik rastgele sayı değeriyle eşleşen bir nonce özelliği bulunmalıdır (tüm komut dosyaları aynı tek seferlik rastgele sayıya sahip olabilir). İlk adım, bu özellikleri tüm komut dosyalarına eklemektir:

CSP tarafından engellendi

<script src="/path/to/script.js"></script>
<script>foo()</script>

CSP, "nonce" özelliklerine sahip olmadıkları için bu komut dosyalarını engeller.

CSP tarafından izin veriliyor

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

"${NONCE}" değeri CSP yanıt başlığındaki tek seferlik rastgele sayıyla eşleşen bir değerle değiştirilirse CSP bu komut dosyalarının yürütülmesine izin verir. Bazı tarayıcıların sayfa kaynağını denetlerken "nonce" özelliğini gizleyeceğini unutmayın.