コンテンツセキュリティポリシーはInternetExplorer11では機能しません

各応答のasp.netコアアプリケーションで、コンテンツセキュリティポリシーヘッダーを追加しています。 IEの場合、ヘッダー名はX-Content-Security-Policyであり、他のブラウザの場合はchrome its Content-Security-Policy

ヘッダー値は次のようになります。ここで、nonceは応答ごとに異なります。

default-src 'none';   
script-src 'self' 'nonce-somerandomvalue-differnt-foreach-reasone' 'unsafe-eval';  
style-src 'self' 'unsafe-inline';   
img-src 'self' data:;   
font-src 'self';    
object-src 'self';   
connect-src 'self';   
report-uri /csp/report;   

アプリケーションは、いくつかのページでインラインJavaScriptを使用しています。したがって、インラインスクリプト違反を修正するために、スクリプトタグに同じnonce値を追加しています。
<script type="text/javascript" nonce="somerandomvalue-differnt-foreach-reasone">
ここで重要なのは、nonce値がヘッダーのnonce値と一致する必要があることです。 詳細はこちら

ヘッダーとスクリプトタグにそれぞれナンスを追加するミドルウェアとタグヘルパーを実装しました。そして、ページのレンダリング時に両方のnonce値が一致することを確認しました。

次に、ページでテスト目的で、nonceなしでスクリプトを追加しました

<script type="text/javascript">
    $(function () {
        alert('i am hacker');
    })
</script>

Google chromeはこの違反を検出し、上記のスクリプトを期待どおりにブロックします。ただし、IE 11では、上記のスクリプトは違反なしで実行されます。ここでも、ヘッダーを確認しました。 in IE is X-Content-Security-Policy

IE 11がスクリプトをブロックしていないのはなぜですか？