Usando a diretiva CSP nonce para evitar XSS

A filtragem e escape de string tem sido o padrão para prevenção de XSS há algum tempo. Infelizmente, essa abordagem tem muitos problemas.

A boa notícia é que, com a Política de Segurança de Conteúdo, podemos lutar contra o XSS usando as ferramentas certas!

Aqui está uma demonstração da nova diretiva nonce para evitar a execução de <script> s inline indesejados.

Você precisará da estrutura NodeJS e Express para executar o servidor.

https://gist.github.com/jaysoo/5691492

Nota: Isso só está disponível no Chrome no momento desta redação.