CSP nonce-sourceとは? Content Security Policy (CSP) は、クロスサイトスクリプティング (XSS) やデータインジェクション攻撃を含む、よく知られた種類の攻撃を検出して軽減する、セキュリティの追加レイヤーです。これらの攻撃手法は、データ窃盗からサイト改変、マルウェア感染まで、すべてに使用されます。 https://developer.mozilla.org/ja/docs/Security/CSP より。 XSSに関して簡単に言うと、実行できるJavaScriptを制限して、外部からスクリプトが注入されてもブラウザが実行しないことでXSSを防御する機能ということになります。 例えば、自分のサーバ上のjsファイルからのみのscriptを実行するように指定すれば、外部からスクリプトを挿入されても実行はされず安全になります。 しかし、インラインのJa