Content-Security-Policy HTTP标头用于阻止来自不受信任服务器的内联脚本和资源.但是,Google Analytics代码段示例依赖于这两者.这方面的最佳做法是什么?
这是我目前使用的Content-Security-Policy标头:
default-src 'self'; script-src 'self' https://ssl.google-analytics.com; img-src 'self' http://www.google-analytics.com/__utm.gif https://ssl.google-analytics.com/__utm.gif;
到目前为止,我已经完成了以下工作:
我在我的html中添加了两个脚本标签:
<script src="/js/google-analytics.js"></script>
<script src="https://ssl.google-analytics.com/ga.js" async="true"></script>
google-analytics.js使用_setAccount和_trackPageview设置_gaq数组.
我将ga.js的域添加到了script-src中.
我注意到ga.js正在加载两个图像,所以我将它们添加到img-src中.
有什么我想念的吗?Google会改变我的想法并打破这一切吗?有官方推荐吗?
有没有人知道如何使用默认的-src通配符来使用CSP,以便现代的分析脚本将网页每页数据(不仅仅是主页数据)发送到网站所有者的帐户,从而显示AdSense广告?
我为我的网站尝试了很多CSP版本,包括在<H5BP.com>的.htaccess文件中提出的,但是所有阻止Google Analytics都不会生成每页数据(主页除外)和Google AdSense接受广告任何页面.
虽然谷歌的人类总是在我的网站源代码中看到它,但谷歌的机器没有看到分析脚本.即使将CSP default-src设置为星号通配符也会失败.
在谷歌论坛和非谷歌论坛上提出的问题没有任何效果,只是人们说问题出在我的CSP上,我收到一封电子邮件说我应该完全评论CSP.最后一次工作.评论出来应该不比default-src通配符好,但是评论是我获得广告和网站内部数据的唯一方式.
我大约一个月前向谷歌发布了关于不兼容性但没有回答的反驳(https://www.en.advertisercommunity.com/t5/Code-Implementation/content-security-policy-and-Analytics-and-likely-AdSense/mp/491031).
< Google Analytics和Content-Security-Policy标题 >中的Stack Overflow答案并不表示有人获取了网站内的Google Analytics数据,并且该主题基于过时的Google脚本.
< Google analytics.js和内容安全策略 >中的主题是针对应用而非网站,没有人报告获取内部网站分析数据,即使使用最大允许的CSP,我的努力也失败了.
解决方案是在线程< Google analytics Universal code not tracking >中,但解决方案仅限于将CSP设置为报告,而不是阻止,这对我没有多大用处.
没有Stack Overflow主题是关于CSP和AdSense的.当我提议H5BP在他们的模型<.htaccess>中告诉用户这一点时,他们的受访者表示它适用于他并将我转介给你.
作为对建议的检查,是否有人在自己的Google Analytics帐户中看到特定于网页的数据,并在运行.htaccess CSP时看到AdSense广告?
javascript .htaccess google-analytics adsense content-security-policy