Javascript 在哪里可以配置内容安全策略?
对于一个客户,我正在他们的网站上安装Facebook Pixel,以便他们收集营销统计数据。Facebook像素是通过以下Javascript在Javascript 在哪里可以配置内容安全策略?,javascript,php,apache,content-security-policy,facebook-pixel,Javascript,Php,Apache,Content Security Policy,Facebook Pixel,对于一个客户,我正在他们的网站上安装Facebook Pixel,以便他们收集营销统计数据。Facebook像素是通过以下Javascript在标记中实现的: <script> !function(f,b,e,v,n,t,s) {if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)}; if(!f._f
标记中实现的:
<script>
!function(f,b,e,v,n,t,s)
{if(f.fbq)return;n=f.fbq=function(){n.callMethod?
n.callMethod.apply(n,arguments):n.queue.push(arguments)};
if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version='2.0';
n.queue=[];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)[0];
s.parentNode.insertBefore(t,s)}(window,
document,'script',
'https://connect.facebook.net/en_US/fbevents.js');
fbq('init', '*****************');
fbq('track', 'PageView');
</script>
<noscript>
<img height="1" width="1" src="https://www.facebook.com/tr?id=***************&ev=PageView&noscript=1" />
</noscript>
我已经浏览了该网站的源代码(它是用PHP构建的),而内容安全策略
指令在任何地方都没有配置。它也不在.htaccess
文件中。虽然我不太确定,但这是否可以在.htaccess
文件中完成
编辑:(添加了响应标题的图像)
从错误消息和上面的屏幕截图中可以看出,在某个地方定义了一个内容安全策略
指令,我需要找到它,这样我就可以在那里将Facebook域列入白名单。我在想,这可能是在服务器级别的httpd.conf
文件中完成的,我无法访问该文件,因为该网站由外部托管提供商托管
因此,我的问题是:如果不是在PHP代码、html
属性或httpd.conf
文件中,可以在哪里配置内容安全策略
指令?是否可以在其他地方执行此操作?据我所知,只有在这些地方可以设置内容安全策略:
内容安全策略是否在响应头中?如果它不是作为元标记出现在HTML中的某个位置,那么它必须在Apache配置中,或者在httpd.conf中,或者在任何vhost配置中。我会仔细检查apache目录中的所有配置以确保安全。如果没有,apache和浏览器之间是否有前端服务器?他们可能正在添加标题。@jburtonev Yes CSP标题出现在响应标题中,如我添加的屏幕截图所示。AfroThundr:CSP不在HTML中,这让我认为它必须设置在服务器级别。感谢您提醒我有关vhost配置的信息。
Refused to load the script 'https://connect.facebook.net/en_US/fbevents.js' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' 'unsafe-eval' platform.twitter.com s3.amazonaws.com cdn.ckeditor.com cdn.syndication.twimg.com www.google-analytics.com ajax.googleapis.com player.vimeo.com".