J'essaie de faire fonctionner SPIP avec CSP sans 'unsafe-inline' ni 'unsafe-eval', avec des entêtes générées directement par le serveur
server {
set_secure_random_alphanum $cspNonce 64;
puis dans
location ~ \.php$ {
fastcgi_param NGINX_NONCE $cspNonce;
puis dans les balises script inline
<script type='text/javascript' nonce="<?php echo $_SERVER['NGINX_NONCE']; ?>">
C'est viable pour deux ou trois scripts inline mais impensable avec SPIP si je veux ensuite faire un upgrade.
Comment insérer nonce="$_SERVER['NGINX_NONCE']" dans chaque inline ?
Ensuite viendront les eval mais ça vaut la peine ?
A +