Adicionar um atributo nonce aos elementos <script>

Com um CSP baseado em valor de uso único, cada elemento <script> precisa ter um atributo nonce que corresponda ao valor de uso único aleatório especificado no cabeçalho do CSP. Todos os scripts podem ter o mesmo valor de uso único. A primeira etapa é adicionar estes atributos a todos os scripts:

Bloqueado pelo CSP

<script src="/path/to/script.js"></script>
<script>foo()</script>

O CSP vai bloquear esses scripts porque eles não têm atributos "nonce".

Permitido pelo CSP

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

O CSP vai permitir a execução desses scripts se "${NONCE}" for substituído por um valor que corresponda ao valor de uso único no cabeçalho de resposta do CSP. Alguns navegadores ocultam o atributo "nonce" ao inspecionar a fonte da página.