HTML中nonce属性用于CSP（内容安全策略）中，允许内联脚本或样式的执行。它通过为每个脚本动态生成唯一值，确保只有经过验证的代码才能运行，从而增强安全性。

HTML中的nonce属性是CSP安全机制的关键“匹配钥匙”，它本身不赋予执行权限，而是在服务端响应头、HTML标签值与密码学安全随机值三者严格一致时，才允许特定内联脚本或样式运行；一旦因响应头缺失、大小写/空格不匹配、meta标签误用、模板插值失败或JS动态设置等任一环节出错，就会静默拒绝执行并报“Refused to execute inline script”——真正考验的是全链路的精准协同与工程严谨性。

nonce 属性本身不放行任何脚本，它只是 CSP 的“匹配钥匙”——只有当服务端响应头、HTML 标签值、随机性三者严格对齐时，浏览器才允许对应

正确做法只能是服务端渲染时注入：