Google analytics 谷歌分析和内容安全策略标题_Google Analytics_Content Security Policy

Google analytics 谷歌分析和内容安全策略标题

google-analytics

Google analytics 谷歌分析和内容安全策略标题,google-analytics,content-security-policy,Google Analytics,Content Security Policy,内容安全策略HTTP头用于阻止来自不受信任服务器的内联脚本和资源。但是，示例Google Analytics代码段取决于这两个方面。这方面的最佳做法是什么这是我当前使用的内容安全策略头： default-src 'self'; script-src 'self' https://ssl.google-analytics.com; img-src 'self' http://www.google-analytics.com/__utm.gif https://ssl.google-analyt

内容安全策略HTTP头用于阻止来自不受信任服务器的内联脚本和资源。但是，示例Google Analytics代码段取决于这两个方面。这方面的最佳做法是什么

这是我当前使用的内容安全策略头：

default-src 'self'; script-src 'self' https://ssl.google-analytics.com; img-src 'self'  http://www.google-analytics.com/__utm.gif https://ssl.google-analytics.com/__utm.gif;

到目前为止，我已经做了以下工作：

我在html中添加了两个脚本标记：

<script src="/js/google-analytics.js"></script>
<script src="https://ssl.google-analytics.com/ga.js" async="true"></script>

google-analytics.js使用_setAccount和_trackPageview设置_gaq数组

我将ga.js的域添加到脚本src中

我注意到ga.js正在加载两个图像，所以我将它们添加到img src中

我有什么遗漏吗？谷歌会改变我的处境，打破这一切吗？有什么官方建议吗？

这基本上是正确的：

您不需要映像的路径，只需要协议+主机+（隐含）端口

Firefox的CSP实现略有不同。对于旧版本，请将

默认src

替换为

允许

。Firefox支持的

default src

与

allow

相等，但大多数仍然使用

allow

实现，直到它完全支持规范（不包括引用）

我觉得不错。至于他们是否会改变它，这取决于他们：）一个webdriver测试将确认事情是否继续工作