הוספת מאפיין nonce
לרכיבים של <script>
עם CSP חד-פעמי (CSP), לכל אלמנט <script>
חייב להיות מאפיין nonce
שתואם לערך האקראי האקראי שצוין בכותרת ה-CSP (כל הסקריפטים יכולים להיות בעלי אותו חד-פעמי (nonce). השלב הראשון הוא להוסיף את המאפיינים האלה לכל הסקריפטים:
נחסם על ידי CSP
<script src="/path/to/script.js"></script>
<script>foo()</script>
מערכת CSP תחסום את הסקריפטים האלה כי אין להם מאפיינים מסוג 'nonce'.
מותר על ידי CSP
<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>
CSP יאפשר להריץ את הסקריפטים האלה אם '${NONCE}' יוחלף בערך שתואם לצופן החד-פעמי (nonce) בכותרת התגובה של ה-CSP. שימו לב שדפדפנים מסוימים יסתירו את המאפיין 'nonce' כשבודקים את מקור הדף.