Menambahkan atribut nonce ke elemen <script>

Dengan CSP berbasis nonce, setiap elemen <script> harus memiliki atribut nonce yang cocok dengan nilai nonce acak yang ditentukan dalam header CSP (semua skrip dapat memiliki nonce yang sama). Langkah pertama adalah menambahkan atribut ini ke semua skrip:

Diblokir oleh CSP

<script src="/path/to/script.js"></script>
<script>foo()</script>

CSP akan memblokir skrip ini karena tidak memiliki atribut `nonce`.

Diizinkan oleh CSP

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

CSP akan mengizinkan eksekusi skrip ini jika `${NONCE}` diganti dengan nilai yang cocok dengan nonce di header respons CSP. Perlu diketahui bahwa beberapa browser akan menyembunyikan atribut `nonce` saat memeriksa sumber halaman.