Как настроить CSP заголовки с nonce [2026]

Enterno.io Editorial Team

Как настроить Content-Security-Policy с nonce

Автор: Anatoly Oshmanovsky · Обновлено 17 апреля 2026

Коротко:

Для защиты от XSS настройте CSP с nonce: (1) генерируйте nonce каждый запрос ($nonce = base64_encode(random_bytes(16))); (2) добавьте в заголовок script-src 'nonce-{$nonce}'; (3) проставьте атрибут nonce='{$nonce}' на каждый inline <script>. Без unsafe-inline.

Попробовать бесплатно →

Пошаговая инструкция

Сгенерируйте nonce в PHP. В начале шаблона: $nonce = base64_encode(random_bytes(16));. Обязательно новый nonce на каждый запрос.
Добавьте CSP заголовок. В PHP: header("Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-{$nonce}'; style-src 'self' 'nonce-{$nonce}'; object-src 'none'; base-uri 'self'");
Расставьте nonce на inline скрипты. <script nonce="<?= $nonce ?>">console.log('ok');</script>. Без nonce скрипт будет заблокирован.
Проверьте через валидатор. Используйте /csp чекер Enterno.io. Grade A означает корректная настройка.
Включите CSP-Report-Only параллельно. Для мониторинга: Content-Security-Policy-Report-Only: ...; report-uri /csp-report.php. Собирайте violations перед enforcing.

Открыть инструмент →

Больше по теме

Гайды

Глоссарий

CSP: определение, синтаксис и примеры

Часто задаваемые вопросы

Нужна ли регистрация?

Нет для быстрой проверки. Для continuous-мониторинга — бесплатный аккаунт.