Как настроить CSP с nonce — убрать unsafe-inline

Enterno.io Editorial Team

Как настроить CSP nonce

Автор: Anatoly Oshmanovsky · Обновлено 17 апреля 2026

Коротко:

CSP nonce — random value, генерируется per-request, включается в CSP header script-src 'nonce-XXX' и как атрибут <script nonce="XXX">. Позволяет выполнить конкретный inline script без 'unsafe-inline', что критично для XSS защиты. Особенно важно для React SSR + legacy code.

Ниже: пошаговая инструкция, рабочие примеры, типичные ошибки, FAQ.

Попробовать бесплатно →

Пошаговая настройка

Сгенерируйте nonce per-request: $nonce = base64_encode(random_bytes(16));
Установите CSP header: Content-Security-Policy: script-src 'self' 'nonce-<NONCE>' 'strict-dynamic'
В HTML: <script nonce="<NONCE>">doStuff()</script>
Всё остальное inline — заблокировано (как и должно быть против XSS)
Для React/Next.js: через __webpack_nonce__ + middleware
Проверьте: DevTools → Console → не должно быть "Refused to execute inline script"
Enterno CSP Analyzer → grade = A

Рабочие примеры

Сценарий	Конфиг
PHP middleware	`$nonce = base64_encode(random_bytes(16)); header("Content-Security-Policy: script-src 'self' 'nonce-$nonce'");`
Next.js middleware	const nonce = Buffer.from(crypto.randomUUID()).toString('base64'); headers.set('Content-Security-Policy', `script-src 'self' 'nonce-${nonce}'`);
Inline script с nonce	`<script nonce="<?= $nonce ?>"> window.dataLayer = []; </script>`
strict-dynamic (advanced)	`script-src 'nonce-XXX' 'strict-dynamic' # script-ы, загруженные через nonce-script, наследуют trust`
Report-Only для тестирования	`Content-Security-Policy-Report-Only: script-src 'self' 'nonce-XXX'; report-uri /csp-report`

Типичные ошибки

Nonce не случайный (timestamp, sequential) — attacker может предугадать
Nonce используется > 1 request — полностью ломает безопасность
Забыть добавить nonce к legitimate inline script — блокирован, sign-in форма не работает
Google Analytics / GTM scripts не ожидают nonce — используйте strict-dynamic или hash
CSP header в HTML meta вместо HTTP header — не эффективен против XSS первой страницы

Больше по теме

Гайды

Глоссарий

CSP: определение, синтаксис и примеры

Часто задаваемые вопросы

Nonce vs hash — что выбрать?

Nonce — для dynamic HTML (per-request). Hash — для статичного inline script (не меняется). На practice nonce + strict-dynamic = 95% случаев.

strict-dynamic — что это?

Директива CSP3: любой script, загруженный через nonce/hash-script, автоматически получает trust. Упрощает integration GTM/Analytics.

Работает ли CSP в IE?

IE 11 поддерживает CSP 1 (basic). Nonce появился в CSP 2 — не работает в IE. На 2026 acceptable.

Как проверить свой CSP?

<a href="/csp">Enterno CSP Analyzer</a> → введите URL → grade + breakdown директив.