Thêm thuộc tính nonce vào các phần tử <script>

Với CSP dựa trên số chỉ dùng một lần, mỗi phần tử <script> phải có một thuộc tính nonce khớp với giá trị số chỉ dùng một lần được chỉ định trong tiêu đề CSP (tất cả các tập lệnh đều có thể có cùng số chỉ dùng một lần). Bước đầu tiên là thêm các thuộc tính này vào tất cả tập lệnh:

Bị chặn bởi CSP

<script src="/path/to/script.js"></script>
<script>foo()</script>

CSP sẽ chặn các tập lệnh này vì chúng không có thuộc tính "chỉ một lần".

Do CSP cho phép

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

CSP sẽ cho phép thực thi các tập lệnh này nếu "${NONCE}" được thay thế bằng một giá trị khớp với số chỉ dùng một lần trong tiêu đề phản hồi của CSP. Xin lưu ý rằng một số trình duyệt sẽ ẩn thuộc tính "nonce" khi kiểm tra nguồn trang.