我有一个使用谷歌分析的网站,比如
<script
src="https://www.google-analytics.com/analytics.js"/>
并使用 Mozilla Observatory 来测试它是否存在安全漏洞。
我从 Mozilla 天文台收到以下问题:
未实现子资源完整性 (SRI),但所有外部脚本均通过 HTTPS 加载
似乎无法为其创建哈希,例如通过https://www.srihash.org/。我不想在本地创建哈希,因为如果发生analytics.js更改,它会破坏网站。
我可以使用 anonce但我不确定如何在每个请求中生成它。
我正在考虑下载analytics.js并在本地使用它。这样做有什么缺点吗?
提前致谢
javascript security google-analytics content-security-policy subresource-integrity