我在 heroku 上部署了一个 MERN 应用程序,并为 CSP 设置了以下值:
<meta
http-equiv="Content-Security-Policy"
content="connect-src https://api.themoviedb.org 'self'; default-src 'self'; base-uri 'self'; object-src 'none'; script-src 'unsafe-inline' 'self' ; style-src 'unsafe-inline' 'self' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.com"
/>
然而,这是我在 Chrome 控制台中得到的:
拒绝连接到 [URL],因为它违反了以下内容安全策略指令:“default-src 'self'”。请注意,“connect-src”未明确设置,因此“default-src”用作后备。
当我检查页面时可以在index.html中看到connect-src,为什么它告诉我connect-src没有设置?
我在 GTM 中包含一个自定义脚本,用于调用外部资源。脚本看起来像这样
<script type="text/javascript" id="some-key" data-key="xxxxxxxxxxxxxxxxxx" src="link-to-external-resource"></script>
我已将其触发设置为当前触发正常的所有页面,但问题是,脚本在 DOM 中没有data-key属性的情况下呈现。它在 DOM 中的渲染看起来像这样
<script type="text/javascript" id="some-key" src="link-to-external-resource"></script>
我错过了什么吗?有没有办法在 Google 跟踪代码管理器中包含 data-* 属性?