dodać atrybut nonce do elementów <script>;

W przypadku CSP opartego na nonce każdy element <script> musi mieć atrybut nonce, który odpowiada losowej wartości nonce określonej w nagłówku CSP (wszystkie skrypty mogą mieć ten sam nonce). Pierwszym krokiem jest dodanie tych atrybutów do wszystkich skryptów:

Zablokowana przez CSP

<script src="/path/to/script.js"></script>
<script>foo()</script>

CSP zablokuje te skrypty, ponieważ nie mają atrybutów nonce.

Dozwolone przez CSP

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

CSP zezwoli na wykonanie tych skryptów, jeśli wartość „${NONCE}” zostanie zastąpiona wartością odpowiadającą nonce w nagłówku odpowiedzi CSP. Pamiętaj, że niektóre przeglądarki ukrywają atrybut nonce podczas sprawdzania źródła strony.