我有一个使用 SSR 的 Vue 应用程序。为了实现 Content-Security-Policy，我使用了 nonce-aware version of GTM snippet。

但它并没有将 nonce 添加到所有由 gtm 注入页面的脚本（特别是自定义 HTML 标记）。我遵循了提到 here 的解决方案，它解决了 Safari 上的问题。但它在 Chrome、Firefox 或 Edge 上不起作用，我仍然看到这些标签的错误：

这是我的 CSP 设置：

default-src 'self';
base-uri 'self';
block-all-mixed-content;
font-src 'self' https: https://fonts.gstatic.com data:;
img-src 'self' https: data: https://www.google-analytics.com https://ssl.gstatic.com  https://www.gstatic.com https://www.googletagmanager.com;
object-src 'none';
script-src 'self' 'nonce-b62382357618aee340fc9dc596c94a19' https://www.google-analytics.com/ https://ssl.google-analytics.com https://tagmanager.google.com https://www.googletagmanager.com 127.0.0.1:*;
script-src-attr 'none';
style-src 'self' 'unsafe-inline' https://tagmanager.google.com https://fonts.googleapis.com;
upgrade-insecure-requests;
connect-src 'self' https://www.google-analytics.com https://stats.g.doubleclick.net;

经过数小时的研究，我发现了以下评论：

Chrome 屏蔽了 nonce 属性值，因此标签管理器无法获取它并将其存储为变量。

我不确定这是否真的是问题，但谁能解释一下我如何在不使用 unsafe-inline 或散列的情况下解决这个问题，因为似乎即使在 Google 文档中也没有标准的方法来修复它？

解决方法

<!-- Google Tag Manager -->
<script
  nonce='{{YOUR_GTM_NONCE}}'
  data-gtm-nonce='{{YOUR_GTM_NONCE}}'
>
  (function(w,d,s,l,i){
    const gtmNonce = d.querySelector('[data-gtm-nonce]').dataset.gtmNonce;
    w[l]=w[l]||[];
    w[l].push({'nonce': gtmNonce});
    w[l].push({'gtm.start': new Date().getTime(),event:'gtm.js'});
    const f=d.getElementsByTagName(s)[0],j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';
    j.async=true;
    j.src='https://www.googletagmanager.com/gtm.js?id='+i+dl;
    j.setAttribute('nonce',gtmNonce);
    f.parentNode.insertBefore(j,f);
  })(window,document,'script','dataLayer','YOUR_GTM_ID');
</script>
<!-- End Google Tag Manager -->