CSP strict: no unsafe-inline без nonce'ов на любой странице

## Что это CSP strict-headers на всех окнах ROX (main, embed, viewer). `script-src 'self' 'nonce-XYZ'`, никаких `unsafe-inline`. CSP report-URI ловит violations → audit emit. ## Зачем XSS — top-1 угроза web/electron-app. Strict CSP без unsafe-inline закрывает 90% поверхности атаки структурно, не optimistically. ## Источники вдохновения - [ethz-spylab/agentdojo](https://github.com/ethz-spylab/agentdojo) — strict CSP - [moby/profiles](https://github.com/moby/profiles) — security headers ## 🔗 Linear - [PZD-318](https://linear.app/kuhjie/issue/PZD-318) — backing ticket