Question

Я использую правило CSP nonce для загрузки всех моих внешних JS-скриптов, то есть я не запускаю 'unsafe-inline'. Поэтому безопаснее.

Странно, но с файлом Google Analytics браузер блокирует загрузку файлов, загружаемых скриптом analytics.js как таковым .

У любого есть опыт загрузки Google Analytics с CSP и без 'unsafe-inline', с использованием одноразовых номеров или хэшей ?

Max · Answer 1 · 30 апреля 2018

Моя ставка в том, что script-src работает только для вашего встроенного сценария GA, однако последующие /collect запросы, сделанные GA, являются image/gif запросами. Попробуйте использовать img-src , чтобы разрешить эти /collect вызовы:

Content-Security-Policy: img-src http://www.google-analytics.com
Content-Security-Policy: img-src https://www.google-analytics.com

Выберите, какой протокол соответствует вашему.

Загрузите js-файл Google Analytics с помощью CSP nonce

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Загрузите js-файл Google Analytics с помощью CSP nonce

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы