Как в фильтре безопасности получить заголовки response и внести в них изменения (spring security)?

Есть фильтр который должен в ответ добавлять nonce директиву, но он не делает этого. Вместо этого там директивы которые установлены в filterchain. Подскажите, что может быть не так.

public class NonceFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String nonce = UUID.randomUUID().toString();
        request.setAttribute("nonce", nonce);
        filterChain.doFilter(request, response);
        String CSP = response.getHeader("Content-Security-Policy");
        response.setHeader("Content-Security-Policy", "script-src 'self' 'nonce-" + nonce + "'" + CSP);
    }
}