在内容安全-政策(CSP)头的目的是保护你免受恶意资源注入应用程序在你的web应用程序.为简单起见,您可以为所有图像,脚本,样式等提供允许的域来源的白名单.
与此同时,营销团队正在使用Google跟踪代码管理器(GTM)来管理代码.原理是从页面收集信息,将它们发送到GTM并将这些数据用作变量来生成标签,模板化JS/HTML和这些变量的混合.
问题是这些标签中的大多数都包含javascript,用于向跟踪器,广告服务器或任何合作伙伴发送非常具体的数据.让我们假设我的营销团队意识到安全风险,并且不会包含恶意脚本.
有没有办法知道哪些域是由GTM导入的,所以它们可以自动添加到我的CSP上?
javascript security web content-security-policy google-tag-manager
为了实现 Content-Security-Policy,我需要传递nonce给 GTM 以允许标记。使用nonce-aware版本的 GTM 代码段适用于除自定义 HTML之外的所有标签类型。
有没有办法传递nonce给自定义 HTML并允许自定义脚本,而无需使用unsafe-inline?