Versões: faces 2.2 Biblioteca JavaScript Faces Mojarra Faces 4.0.7
Liguei Primefaces.CSP em web.xml. E gera nonce-s para js.
Encontrei alguns xhtml onde faces.js violou (unsafe-inline)
Recusou-se a executar o script inline porque ele viola a seguinte diretiva da Política de Segurança de Conteúdo: "script-src 'self'
if (!!script) {
var scriptNode = document.createElement("script");
scriptNode.type = "text/javascript";
scriptNode.text = script;
head.appendChild(scriptNode); //this violates
head.removeChild(scriptNode)
}
Como posso usar Primefaces.CSP e faces.js juntos com segurança?