<script> 要素に nonce 属性を追加する

ノンスベースの CSP では、すべての <script> 要素に、CSP ヘッダーで指定されたランダムなノンス値と一致する nonce 属性が必要です（すべてのスクリプトに同じノンスを指定できます）。まず、これらの属性をすべてのスクリプトに追加します。

CSP によるブロック

<script src="/path/to/script.js"></script>
<script>foo()</script>

これらのスクリプトには「nonce」属性がないため、CSP はこれらのスクリプトをブロックします。

CSP で許可される

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

CSP は、CSP レスポンス ヘッダー内の「${NONCE}」がノンスと一致する値に置き換えられると、これらのスクリプトの実行を許可します。ブラウザによっては、ページソースの検査時に nonce 属性が非表示になる場合があります。