google-analytics - 没有不安全内联的内容安全政策和谷歌分析?

标签 google-analytics content-security-policy

目前,我在 Apache 中的 CSP 配置如下所示:

Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' https:"

我想删除 unsafe-inline提高我网站安全性的指令,请参阅 Mozilla's Observatory .

然而,每当我删除它时,我的浏览器控制台都会显示一个错误,表明内联 GA 无法加载……

有解决方法吗?

最佳答案

作为替代解决方法,您可以通过将脚本的哈希添加到内容安全策略来允许特定的静态脚本。 (随机数适用于动态脚本):

  • 散列你的脚本(例如,使用 sha256)。一定要包括空格/大写。不要包含脚本标签。
  • 添加 script-src 'sha256-[MYHASH]'到您的内容安全政策。

    • MDN详情。 Not supported在 IE11 上。

    关于google-analytics - 没有不安全内联的内容安全政策和谷歌分析?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39180486/

    上一篇:google-analytics - 如何在 BigQuery 中使用 UDF 展平 Google Analytics 自定义维度?

    下一篇:google-analytics - 如果我在一个页面上两次使用 Google Analytics "pageview",它会计算该页面一次还是两次?

    相关文章:

    javascript - 如何获取 Google Analytics 客户端 ID

    html - 哪些 HTML 元素是不可分割的?

    javascript - 使用 Sentry 时忽略特定的 CSP 错误

    php - 如何说服 Zend Framework 发送重复的 header ?

    google-analytics - 将 GTM 与 Shopify 集成

    javascript - Google Analytics - 跟踪 Firefox 插件中的事件

    database - 谷歌分析数据库设计

    android - Android 版 Google Analytics 的位置准确性

    javascript - 内容安全策略阻止 CDN

    javascript - 为什么这个内联 javascript 没有被内容安全策略阻止?

    ©2024 IT工具网  联系我们