Hola,
Veo que hay una forma agradable y sencilla de generar nonce para GTM. ¿Hay alguna forma de añadir el nonce al DOM sin instalar el contenedor de GTM? Me gustaría evitar el uso de unsafe-inline para mis scripts.
2 Me gusta
Buena pregunta, técnicamente no veo ninguna razón por la que no debamos incluir el nonce independientemente de si GTM está instalado.
Marcando esto como pr-welcome.
1 me gusta
Un nonce de CSP sería útil también para solucionar un problema de Cloudflare.
El modo Super Bot Fight de Cloudflare inyecta scripts en línea y la documentación menciona el uso de un nonce:
El error que estoy recibiendo en mi sitio es: “Se denegó la ejecución de un script porque su hash, su nonce o ‘unsafe-inline’ no aparecen en la directiva script-src de la Política de Seguridad de Contenido”.
Nuestra implementación de la pantalla de presentación ya utiliza nonces de CSP, @Johani la creó.
Conseguir que algo así funcione para GTM o superbot es probablemente bastante factible.
1 me gusta
En realidad… mi unsafe-inline dejó de funcionar. ¿Introdujeron algún cambio que lo rompa? La consola reporta:
Note that 'unsafe-inline' is ignored if either a hash or nonce value is present in the source list
El caso es que no cambié nada. ¿El nonce de la pantalla de presentación lo rompió? 
Perdí un mes de datos de análisis web por eso…
1 me gusta