Salut,
Je vois qu’il existe un moyen agréable et propre de générer un nonce pour GTM. Existe-t-il un moyen d’ajouter le nonce au DOM sans installer de conteneur GTM ? J’aimerais éviter d’utiliser unsafe-inline pour mes scripts.
2 « J'aime »
Bonne question, techniquement je ne vois aucune raison pour laquelle nous n’inclurions pas le nonce, que GTM soit installé ou non.
Marquage de ceci comme pr-welcome.
1 « J'aime »
Un nonce CSP serait également utile pour contourner un problème Cloudflare.
Le mode Super Bot Fight de Cloudflare injecte des scripts en ligne et la documentation mentionne l’utilisation d’un nonce :
L’erreur que je reçois sur mon site est : « Refusé d’exécuter un script car son hash, son nonce ou ‘unsafe-inline’ n’apparaît pas dans la directive script-src de la politique de sécurité du contenu. »
Notre implémentation de l’écran de démarrage utilise déjà des nonces CSP, @Johani l’a construit.
Obtenir quelque chose comme ça pour GTM ou superbot est probablement assez réalisable.
1 « J'aime »
En fait… mon unsafe-inline vient de cesser de fonctionner. Avez-vous introduit des changements majeurs ? La console rapporte :
Notez que 'unsafe-inline' est ignoré si une valeur de hash ou de nonce est présente dans la liste source
Le truc, c’est que je n’ai rien changé. Est-ce que le nonce de l’écran de démarrage l’a cassé ? 
J’ai perdu un mois de données d’analyse web à cause de ça…
1 « J'aime »