Сравни CSP nonce vs hash для inline scripts. Что такое strict-dynamic? Покажи пример CSP политики и расскажи про Trusted Types API — как он защищает от DOM XSS.