顾客服务提供商；SSL内联Javascript&；如何对外参照

我正试图对CSP（内容安全策略）了如指掌 在我向我的网站添加很多“东西”之前。 根据Youtube视频和variuos的不同文档来源，我添加了以下代码，但我在理解如何解决某些问题时遇到了困难

    <meta http-equiv="Content-Security-Policy" 
        content=" upgrade-insecure-requests; default-src; 
                  style-src 'self' *.dmca.com *.trustlogo.com 
                             *.revolvermaps.com *.deviantart.com    
                             *.ebay.co.uk *.amazon.com
                   connect-src *ra.revolvermaps.com *.revolvermaps.com      
                                https://www.ra.revolvermaps.com/
                                https://www.revolvermaps.com
                   font-src 'self' *;
                   object-src 'self' ;
                   img-src 'self' ;
                   script-src https:www.ssl.comodo.com;></meta>

---

我可以给你一些提示，但是如果你的网站上有很多脚本，那么你需要一段时间才能获得正确的CSP

添加
报告uri
，甚至可能将
报告对象添加到您的站点csp-

（我知道上面说，
报告uri
已被弃用，但在撰写本文时，没有浏览器支持
报告对象
）

您需要在服务器上实施一些路由来缓存此报告或注册某些第三方服务）

根据我的经验，这个报告并不难理解，但是一旦你设置好了它，当你的CSP阻止某些东西时，你就会更容易看到它。现在可能只是你没有正确配置的东西，但是在你正确配置完CSP之后，知道什么东西在你的站点上被阻止并了解它是如何被注入的是非常重要的

与Comdo一样，您提到的js代码与您的网站实际ssl无关，它只是在您的网站上宣传自己。如果你仍然想有他们的标志和任何其他在你可以移动脚本到一个外部js文件没有问题

JS最佳实践建议将脚本放在body标记的末尾（主要是出于性能原因）将脚本标记放在body标记的末尾很可能会导致其损坏，但我会先尝试，并且只有在由于某种原因无法正常工作时，我才会将其移动到页面的开头。revolvermaps也不能与CSP一起工作，但我会在稍后解决这个问题。。可能会将它添加到子src、Object src或下载它。我可能认为我在某个地方读到了可以使用该报告发送电子邮件的内容？或者将日志文件指向某个地方，或者我弄错了……我不介意在我的网站上做广告，我非常喜欢那里的标志&它使网站看起来更专业，即使它不是在那个层次上。@RyanStone不是天生的。您需要在服务器上设置端点以获取csp报告。一旦你得到它，你就可以记录它，发电子邮件或用它做其他任何事情。@RyanStone我个人不喜欢这个“安全”标志，因为它们会误导人（我见过一些在线商店在没有ssl的情况下使用它们），它也与你的网站安全无关，只是当前连接是私有的，所以大多数感染者都是误导用户。但我能理解大多数外行用户是如何认为它有价值的