Насколько я понимаю политику безопасности контента, одноразовый номер должен измениться на каждый запрос. Это означает (я думаю), что он должен генерироваться во время выполнения на клиенте, а не во время сборки в конфигурации Webpack. Я протестировал функциональность webpack_nonce в своем приложении, и она отлично работает.
К сожалению, я не уверен, как получить это значение, сгенерированное во время выполнения на клиенте, для фактической политики CSP, которая либо задана как метатег в файле index.html (или каком-то эквиваленте), либо на сам сервер.
Я полагаю, вы могли бы динамически установить метатег CSP на клиенте, но это похоже на угрозу безопасности. Я экспериментировал с csp-webpack-plugin, который вычисляет хэши файлов. во время сборки, а затем добавляет их в index.html. Этот процесс имеет смысл для меня, он просто не поддерживает наш вариант использования.
Мне просто кажется, что я что-то упустил при использовании webpack_nonce.