Безопасность
Клиентская генерация
Используется Web Crypto API: crypto.getRandomValues() и crypto.randomUUID().
Content Security Policy
Строгая CSP: нет inline-скриптов, внешних источников, eval().
Без передачи данных
Значения никогда не отправляются на сервер.