Нужно ли добавить *.xyz.com (где xyz - Google Analytics) как default-src
или script-src?
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="default-src 'self';" />
</customHeaders>
</httpProtocol>
</system.webServer>
Если добавить как script-src, мне нужно сохранить default-src, как в примере выше, или просто добавить 'self' к script-src?
Другое дело небезопасно: встроено и небезопасно. Если в Google Analytics внесены белые списки, нужно ли их указывать? Вот немного информации ...
Помимо перечисления доменов, две дополнительные функции, поддерживаемые script-src и style-src, являются unsafe-inline и unsafe-eval:
unsafe-inline может использоваться style-src и script-src для указания того, что inline и теги разрешены.
CSP использует политику согласия. То есть, если вы не включите unsafe-inline, тогда все встроенные теги будут заблокированы.
unsafe-inline также разрешает встроенные атрибуты стиля для CSS и разрешает встроенные обработчики событий (onclick, onmouseover и т. д.) и javascript: URL (например,).
unsafe-eval может использоваться script-src.
Опять же, он использует политику opt-in, поэтому, если ваш script-src явно не включает unsafe-eval, какую-либо динамическую оценку кода, которая включает использование eval, конструктор Function,
и передача строк в setTimeout и setInterval - заблокирована.