<script> 要素に nonce 属性を追加する

ノンスベースの CSP では、すべての <script> 要素に、CSP ヘッダーで指定されたランダムなノンス値と一致する nonce 属性が必要です（すべてのスクリプトに同じノンスを使用できます）。まず、すべてのスクリプトに次の属性を追加します。

CSP によりブロック

<script src="/path/to/script.js"></script>
<script>foo()</script>

これらのスクリプトには nonce 属性がないため、CSP によってブロックされます。

CSP によって許可されている

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

「${NONCE}」が CSP レスポンス ヘッダーのノンスと一致する値に置き換えられている場合、CSP はこれらのスクリプトの実行を許可します。一部のブラウザでは、ページソースを検査すると nonce 属性が非表示になります。