<script> एलिमेंट में nonce एट्रिब्यूट जोड़ना

नॉन्स आधारित सीएसपी के साथ, हर <script> एलिमेंट में nonce एट्रिब्यूट होना चाहिए, जो सीएसपी हेडर में दी गई रैंडम नॉन्स वैल्यू से मेल खाता हो. सभी स्क्रिप्ट का नॉन्स एक जैसा हो सकता है. सबसे पहले, इन एट्रिब्यूट को सभी स्क्रिप्ट में जोड़ें:

सीएसपी ने ब्लॉक किया

<script src="/path/to/script.js"></script>
<script>foo()</script>

सीएसपी इन स्क्रिप्ट को ब्लॉक कर देगा, क्योंकि इनमें `nonce` एट्रिब्यूट नहीं होते हैं.

सीएसपी ने अनुमति दी है

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

अगर `${NONCE}` को सीएसपी रिस्पॉन्स हेडर में नॉन्स से मेल खाने वाली वैल्यू से बदला जाता है, तो सीएसपी इन स्क्रिप्ट को चलाने की अनुमति देगा. ध्यान दें कि पेज के सोर्स की जांच करते समय, कुछ ब्राउज़र `nonce` एट्रिब्यूट को छिपा देंगे.