Добавьте атрибут nonce
к элементам <script>
При использовании CSP на основе nonce каждый элемент <script>
должен иметь атрибут nonce
, который соответствует случайному значению nonce, указанному в заголовке CSP (все сценарии могут иметь один и тот же nonce). Первым шагом является добавление этих атрибутов во все скрипты:
Заблокировано CSP
<script src="/path/to/script.js"></script>
<script>foo()</script>
CSP заблокирует эти сценарии, поскольку у них нет атрибута nonce.
Разрешено CSP
<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>
CSP разрешит выполнение этих сценариев, если `${NONCE}` будет заменен значением, соответствующим nonce в заголовке ответа CSP. Обратите внимание, что некоторые браузеры скрывают атрибут nonce при проверке источника страницы.