tl;dr

• CSP Lv.2のnonceを使うと意外と簡単にCSPの恩恵を受けれるよ
• Firefoxはunsafe-inlineとの挙動がおかしいので注意
• サンプル実装としてExpressで簡単にnonce対応できるconnectプラグインを書いた（デモあり）
• Violation Reportもブラウザによって細かい挙動の差異があるよ