Hallo,
Ich sehe, dass es eine schöne und einfache Möglichkeit gibt, Nonce für GTM zu generieren. Gibt es eine Möglichkeit, die Nonce zum DOM hinzuzufügen, ohne den GTM-Container zu installieren? Ich möchte die Verwendung von unsafe-inline für meine Skripte vermeiden.
Gute Frage, technisch gesehen sehe ich keinen Grund, warum wir die Nonce nicht einschließen sollten, unabhängig davon, ob GTM installiert ist oder nicht.
Markiere dies als pr-welcome.
Ein CSP-Nonce wäre auch nützlich, um ein Cloudflare-Problem zu umgehen.
Cloudflares Super Bot Fight Mode fügt Inline-Skripte ein und die Dokumentation erwähnt die Verwendung eines Nonce:
Der Fehler, den ich auf meiner Website erhalte, lautet: „Ausführung eines Skripts verweigert, da sein Hash, seine Nonce oder ‚unsafe-inline‘ nicht in der script-src-Direktive der Content Security Policy enthalten ist.“
Unsere Splashscreen-Implementierung verwendet bereits CSP-Nonces, @Johani hat sie gebaut.
Etwas Ähnliches für GTM oder Superbot zum Laufen zu bringen, ist wahrscheinlich ziemlich machbar.
Tatsächlich… mein unsafe-inline hat gerade aufgehört zu funktionieren. Haben Sie irgendwelche Breaking Changes eingeführt? Die Konsole meldet:
Beachten Sie, dass 'unsafe-inline' ignoriert wird, wenn ein Hash- oder Nonce-Wert in der Quellliste vorhanden ist
Die Sache ist, ich habe nichts geändert. Hat die Nonce des Splashscreens es kaputt gemacht? 
Ich habe deswegen einen Monat an Webanalyse-Daten verloren…