Ciao,
Vedo che c’è un modo pulito e ordinato per generare nonce per GTM. C’è un modo per aggiungere il nonce al DOM senza installare il container GTM? Vorrei evitare di usare unsafe-inline per i miei script.
2 Mi Piace
Ottima domanda, tecnicamente non vedo alcun motivo per cui non dovremmo includere il nonce indipendentemente dall’installazione di GTM.
Segnalo questo come pr-welcome.
1 Mi Piace
Un nonce CSP sarebbe utile anche per aggirare un problema di Cloudflare.
La modalità Super Bot Fight di Cloudflare inserisce script inline e la documentazione menziona l’uso di un nonce:
L’errore che sto ricevendo sul mio sito è: “Rifiutato l’esecuzione di uno script perché il suo hash, il suo nonce o ‘unsafe-inline’ non appare nella direttiva script-src della Content Security Policy.”
La nostra implementazione della schermata di avvio utilizza già i nonce CSP, @Johani l’ha creata.
Ottenere qualcosa di simile per GTM o superbot è probabilmente abbastanza fattibile.
1 Mi Piace
In realtà… il mio unsafe-inline ha smesso di funzionare. Avete introdotto delle modifiche che rompono la compatibilità? La console riporta:
Nota che 'unsafe-inline' viene ignorato se è presente un valore hash o nonce nell'elenco delle origini
Il fatto è che non ho cambiato nulla. La nonce della splash screen l’ha rotto? 
Ho perso un mese di dati di web analytics a causa di ciò…
1 Mi Piace