为 <script>
元素添加 nonce
属性
对于基于 Nonce 的 CSP,每个 <script>
元素都必须具有一个 nonce
属性,该属性与 CSP 标头中指定的随机 Nonce 值匹配(所有脚本都可以具有相同的 Nonce)。第一步是将这些属性添加到所有脚本:
被 CSP 屏蔽
<script src="/path/to/script.js"></script>
<script>foo()</script>
CSP 允许
<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>