Adicione um atributo nonce
aos elementos <script>
.
Com uma CSP baseada em valor de uso único, cada elemento <script>
precisa ter um atributo nonce
que corresponda ao valor de uso único aleatório especificado no cabeçalho da CSP. Todos os scripts
podem ter o mesmo valor de uso único. A primeira etapa é adicionar esses atributos a todos
os scripts:
Bloqueada pela CSP
<script src="/path/to/script.js"></script>
<script>foo()</script>
A CSP vai bloquear esses scripts porque eles não têm atributos de valor de uso único.
Permitido pela CSP
<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>
A CSP vai permitir a execução desses scripts se "${NONCE}" for substituído por um valor correspondente ao valor de uso único no cabeçalho de resposta da CSP. Alguns navegadores ocultam o atributo "nonce" ao inspecionar a origem da página.