我正按照Google描述的步骤在我的网站上实施全球跟踪.但我也想让我的Subresource Integrity(SRI)保持最新状态.所以我运行以下命令来查找完整性哈希gtag.js.
> curl -s https://www.googletagmanager.com/gtag/js |\
openssl dgst -sha384 -binary |\
openssl base64 -A
将此作为完整性属性添加到script具有该crossorigin="anonymous"属性的标记,会导致浏览器无法加载gtag脚本.原因:
子资源完整性:资源" https://www.googletagmanager.com/gtag/js "具有完整性属性,但资源要求启用CORS的请求以检查完整性,而不是.资源已被阻止,因为无法强制执行完整性.
显而易见的原因是access-control-allow-origin谷歌返回的标题只允许同一主机来源.
有谁知道这个脚本是否有不同的主机?是否有其他方式在您的网站中采用gtag?