Dodaj atrybut nonce
do elementów <script>
W przypadku CSP opartej na liczbie jednorazowej każdy element <script>
musi mieć atrybut nonce
, który pasuje do losowej wartości liczby jednorazowej określonej w nagłówku CSP (wszystkie skrypty mogą mieć tę samą wartość jednorazową). Pierwszym krokiem jest dodanie tych atrybutów do wszystkich
skryptów:
Zablokowany przez CSP
<script src="/path/to/script.js"></script>
<script>foo()</script>
CSP zablokuje te skrypty, ponieważ nie mają one atrybutów „nonce”.
Dozwolone przez CSP
<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>
CSP zezwoli na wykonywanie tych skryptów, jeśli ciąg „${NONCE}” zostanie zastąpiony wartością odpowiadającą liczbie jednorazowej w nagłówku odpowiedzi CSP. Pamiętaj, że podczas sprawdzania źródła strony niektóre przeglądarki ukrywają atrybut „nonce”.