插入nonce标签，特别是在CSP中匹配它们通常是很棘手的。如果你的脚本代码是静态的，不包含任何更改，那么根据它们的哈希值将它们列入白名单会容易得多。如果你删除“unsafe-inline”，许多浏览器会告诉你需要添加哪些哈希值。
请注意，您的script-src包括https：和http：将允许它加载http和https上的任何脚本。如果您的页面是通过https提供的，则不允许活动混合内容，因此http上的脚本将不会加载。

使用OWIN中间件，您可以非常容易地将头注入ASP.NET MVC 5。一旦设置了OWIN启动（请参见https://learn.microsoft.com/en-us/aspnet/aspnet/overview/owin-and-katana/owin-startup-class-detection），您可以将以下代码添加到启动中以生成动态CSP头：

public void Configuration(IAppBuilder app)
{
    app.Use((context, next) =>
    {
        var rng = new RNGCryptoServiceProvider();
        var nonceBytes = new byte[32];
        rng.GetBytes(nonceBytes);
        var nonce = Convert.ToBase64String(nonceBytes);
        context.Set("ScriptNonce", nonce);
        context.Response.Headers.Add("Content-Security-Policy",
            new[] {string.Format("script-src 'self' 'nonce-{0}'", nonce)});
        return next();
    });
    //Other configuration...
}

然后你可以添加下面的HTML助手来在你的剃刀视图中使用它：

public static class NonceHelper
{
    public static IHtmlString ScriptNonce(this HtmlHelper helper)
    {
        var owinContext = helper.ViewContext.HttpContext.GetOwinContext();
        return new HtmlString(owinContext.Get<string>("ScriptNonce"));
    }
}

然后在视图中使用此辅助对象：

<script type="text/javascript" nonce="@Html.ScriptNonce()">
    //my script body
</script>

渲染结果如下所示：

<script type="text/javascript" nonce="WpvQQK0FO/ZAljsQDGMLEgi2hrvIBVPQNak9zIWqRZE=">
    //my script body
</script>

请注意，如果攻击者可以影响脚本元素的主体，随机数就帮不了你，而哈希可以防止这种情况。然而哈希也有自己的缺点，比如HTTP头膨胀，并且更脆弱。
Here the original reference link .