Привет,
Я вижу, что есть удобный и чистый способ генерации nonce для GTM. Можно ли добавить nonce в DOM без установки контейнера GTM? Я хотел бы избежать использования unsafe-inline для моих скриптов.
Хороший вопрос. Технически я не вижу причин, почему мы не должны включать nonce, независимо от того, установлен ли GTM.
Отмечаю это как pr-welcome.
Использование CSP nonce также помогло бы обойти проблему с Cloudflare.
Режим Super Bot Fight Mode в Cloudflare внедряет встроенные скрипты, и в документации упоминается использование nonce:
Ошибка, которую я получаю на своём сайте: «Отказано в выполнении скрипта, так как его хэш, nonce или директива ‘unsafe-inline’ не указаны в директиве script-src политики безопасности контента».
Наша реализация загрузочного экрана уже использует CSP-нонсы, это сделал @Johani.
Реализовать что-то подобное для GTM или superbot, вероятно, вполне реально.
На самом деле… мой unsafe-inline просто перестал работать. Вы внесли какие-то ломающие изменения? В консоли сообщается:
Обратите внимание, что 'unsafe-inline' игнорируется, если в списке источников присутствует значение хеша или nonce
Дело в том, что я ничего не менял. Неужели nonce на экране загрузки его сломал? 
Из-за этого я потерял месяц данных веб-аналитики…