<script>-Elementen ein nonce-Attribut hinzufügen

Bei einer noncebasierten CSP muss jedes <script>-Element ein nonce-Attribut haben, das mit dem im CSP-Header angegebenen zufälligen Nonce-Wert übereinstimmt. Alle Scripts können dieselbe Nonce haben. Fügen Sie als Erstes allen Scripts die folgenden Attribute hinzu:

Durch CSP blockiert

<script src="/path/to/script.js"></script>
<script>foo()</script>

Diese Scripts werden von CSP blockiert, da sie keine „nonce“-Attribute haben.

Vom CSP zulässig

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

CSP erlaubt die Ausführung dieser Scripts, wenn „${NONCE}“ durch einen Wert ersetzt wird, der mit dem Nonce im CSP-Antwortheader übereinstimmt. Hinweis: Einige Browser blenden das Attribut „nonce“ aus, wenn sie die Seitenquelle prüfen.