script tag 的 nonce 属性实际应用场景是什么？哪个场合会需要在加载 js 的时候附加 nonce？

防范 xss ，攻击者插入的脚本 nonce 对不上无法执行。

这是 CSP （内容安全策略）： https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP

@v2yllhwa 这个链接里面没有和 nonce 有关的内容呀

@v2yllhwa 我知道 nonce 是 CSP 的一种，但是 script 是网页提供的，在 html 本身和响应头是来源于同一个服务器的，为什么会发生 XSS 呢

防止 inline script 注入的。比如你有个博客，人家发评论的时候可能写了：
scirpt
alert("bad test");
script
如果你没有很好的处理 XSS 的话，这个脚本在你的文章页面打开加载评论的时候就会执行。如果用 nonce 的话只有加了 nonce 的脚本会被允许执行。这种评论里面插入的就不会执行了。