"> y eliminar 'unsafe-inline' de script-src. $csp_nonce = base64_encode(random_bytes(16)); { $_csp_host = $_SERVER['HTTP_HOST'] ?? ''; $_is_ship = str_contains($_csp_host, 'ship.'); if ($_is_ship) { // ship: sin 'unsafe-inline' — solo nonce; las páginas ship tienen nonce en sus