Здравствуйте!
Нигде не могу найти информацию об атрибуте nonce для Content Security Policy. Это случайный набор символов ежедневно генерируемый сервером. С помощью атрибута nonce размещённого в параметре script-src можно блокировать загрузку инлайн скриптов с заражённых устройств пользователей.
Может кто-нибудь подсказать, где она формируется?
Пример: Content-Security-Policy: default-src 'self'; script-src *.examle.com 'nonce-Xiojd98a8jd3s9kFiDi29Uijwdu';