目前,我在 Apache 中的 CSP 配置如下所示:
Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' https:"
我想删除
unsafe-inline
提高我网站安全性的指令,请参阅 Mozilla's Observatory .然而,每当我删除它时,我的浏览器控制台都会显示一个错误,表明内联 GA 无法加载……
有解决方法吗?
最佳答案
作为替代解决方法,您可以通过将脚本的哈希添加到内容安全策略来允许特定的静态脚本。 (随机数适用于动态脚本):
script-src 'sha256-[MYHASH]'
到您的内容安全政策。 见 MDN详情。 Not supported在 IE11 上。
关于google-analytics - 没有不安全内联的内容安全政策和谷歌分析?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39180486/