Content-Security-Policy HTTP header 旨在阻止来自不受信任服务器的内联脚本和资源。但是,示例 Google Analytics(分析)代码段取决于两者。该领域的最佳实践是什么?
这是我当前使用的 Content-Security-Policy header :
default-src 'self'; script-src 'self' https://ssl.google-analytics.com; img-src 'self' http://www.google-analytics.com/__utm.gif https://ssl.google-analytics.com/__utm.gif;
到目前为止,我已经完成了以下工作:
我在我的 html 中添加了两个脚本标签:
<script src="/js/google-analytics.js"></script>
<script src="https://ssl.google-analytics.com/ga.js" async="true"></script>
google-analytics.js 使用 _setAccount 和 _trackPageview 设置 _gaq 数组。
我将 ga.js 的域添加到 script-src。
我注意到 ga.js 正在加载两个图像,所以我将它们添加到 img-src。
有什么我想念的吗?谷歌会改变我的事情并打破这一切吗?有官方推荐吗?
最佳答案
这基本上是正确的:
default-src
与 allow
. Firefox 支持 default-src
等于 allow
但大多数仍然使用 allow
直到它完全支持规范(不包括引用)。 关于google-analytics - Google Analytics 和 Content-Security-Policy header ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14592598/