Olá,
Vejo que há uma maneira agradável e limpa de gerar nonce para o GTM. Existe uma maneira de adicionar o nonce ao DOM sem instalar o contêiner do GTM? Eu gostaria de evitar o uso de unsafe-inline para meus scripts.
2 curtidas
Boa pergunta, tecnicamente não vejo motivo para não incluirmos o nonce, independentemente de o GTM estar instalado ou não.
Marcando como pr-welcome.
1 curtida
Um nonce CSP seria útil para contornar um problema do Cloudflare também.
O Super Bot Fight Mode do Cloudflare injeta scripts inline e a documentação menciona o uso de um nonce:
O erro que estou recebendo no meu site é: “Recusado a executar um script porque seu hash, seu nonce ou ‘unsafe-inline’ não aparecem na diretiva script-src da Política de Segurança de Conteúdo.”
Nossa implementação de tela de splash já usa nonces de CSP, o @Johani a construiu.
Conseguir algo assim para GTM ou superbot é provavelmente bastante viável.
1 curtida
Na verdade… meu unsafe-inline parou de funcionar. Vocês introduziram alguma alteração que quebrou isso? O console relata:
Note that 'unsafe-inline' is ignored if either a hash or nonce value is present in the source list
A questão é que eu não mudei nada. O nonce da splash screen quebrou isso? 
Perdi um mês de dados de análise da web por causa disso…
1 curtida