Struts2-core-6.1.1 с HTTP-заголовком Content-Security-Policy

Я переношу проект struts2-core-2.5.30 на struts2-core-6.1.1 , однако получаю следующую ошибку:

Отказано в выполнении встроенного обработчика событий, поскольку он нарушает следующую директиву политики безопасности содержимого: «script-src 'nonce-YGAaDo9iR3Nd5TXLz6HiMO6v' 'strict-dynamic' http: https:». Для включения встроенного выполнения требуется либо ключевое слово unsafe-inline, либо хэш ('sha256-...'), либо одноразовый номер ('nonce-...'). Обратите внимание, что хэши не применяются к обработчикам событий, атрибутам стиля и javascript: навигации, если не присутствует ключевое слово 'unsafe-hashes'.

Я уже разместил в JSP, что использую политику безопасности для контента.

       <meta http-equiv=content-type" content="script-src 'unsafe-inline'; script-src-elem 'http://localhost:8080/My_App/html/js/file.js'; text/html; charset=ISO-8859-1" />

И я получаю следующую ошибку:

Отказался загружать скрипт «http://localhost:8080/My_App/html/js/file.js», поскольку он нарушает следующую директиву политики безопасности контента: «script-src 'nonce-7yiWsJW8gTw1QSsMQ-u_Ph61' 'strict-dynamic' http:https:". Обратите внимание, что присутствует «строгий динамический», поэтому белый список на основе хоста отключен. Обратите внимание, что «script-src-elem» не был задан явно, поэтому «script-src» используется как запасной вариант. Что я делаю не так?

Хочу уточнить, что в той версии struts, что у меня была до этого, этой ошибки не появлялось.