<script>
-Elementen ein nonce
-Attribut hinzufügen
Bei einer nonce-basierten CSP muss jedes <script>
-Element ein nonce
-Attribut haben, das mit dem zufälligen Nonce-Wert im CSP-Header übereinstimmt (alle Skripts können dieselbe Nonce haben). Der erste Schritt besteht darin, diese Attribute allen Skripts hinzuzufügen:
Vom CSP blockiert
<script src="/path/to/script.js"></script>
<script>foo()</script>
Die CSP blockiert diese Skripts, da sie keine Nonce-Attribute haben.
Von CSP zugelassen
<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>
Die CSP lässt die Ausführung dieser Skripts zu, wenn „${NONCE}“ durch einen Wert ersetzt wird, der mit der Nonce im CSP-Antwortheader übereinstimmt. Beachten Sie, dass einige Browser das Attribut „nonce“ beim Prüfen des Seitenquelltextes ausblenden.