Добавьте атрибут nonce к элементам <script>

При использовании CSP на основе nonce каждый элемент <script> должен иметь атрибут nonce , который соответствует случайному значению nonce, указанному в заголовке CSP (все сценарии могут иметь один и тот же nonce). Первым шагом является добавление этих атрибутов во все скрипты:

Заблокировано CSP

<script src="/path/to/script.js"></script>
<script>foo()</script>

CSP заблокирует эти сценарии, поскольку у них нет атрибута nonce.

Разрешено CSP

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

CSP разрешит выполнение этих сценариев, если `${NONCE}` будет заменен значением, соответствующим nonce в заголовке ответа CSP. Обратите внимание, что некоторые браузеры скрывают атрибут nonce при проверке источника страницы.