У меня есть веб-приложение, использующее стандартную политику безопасности содержимого html5boilerplate.
Однако у нас есть новый фрагмент Google analytics.js на странице, который блокируется CSP.
Я пытаюсь найти пример структуры CSP и JS include, которая позволит Google analytics.js, но не повезло.
Ближайшая почта SO заголовок Google Analytics и Content-Security-Policy, но используется более старый ga.js.
К сожалению, Документы Google не упоминают CSP.
Я пришел к следующему решению:
Внизу моего html файла:
<script type="text/javascript" src="/js/analytics.js"></script>
Содержимое analytics.js:
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function()
{ (i[r].q=i[r].q||[]).push(arguments)}
,i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g; m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-1', 'auto');
ga('send', 'pageview');
.htaccess CSP:
Header set Content-Security-Policy "script-src 'self' https://ssl.google-analytics.com http://www.google-analytics.com; object-src 'self'"
Это работает, но я не уверен, что я сломал асинхронный характер кода GA или вызвал некоторые другие непредвиденные последствия.
Может ли кто-нибудь сообщить правильный способ разрешить Google analytics.js с помощью политики безопасности контента?
Автор Edit: В конце я использовал решение, подробно описанное в заголовке Google Analytics и Content-Security-Policy, возвращаясь к ga.js. Но я все равно хотел бы знать, можно ли использовать analytics.js таким же образом.
Автор Редактировать 2: Похоже, что это возможно, используя analytics.js прямо из Google и те же принципы, что и другая публикация SO:
Нижняя часть файла HTML:
<script type="text/javascript" src="https://ssl.google-analytics.com/analytics.js"></script>
<script type="text/javascript" src="/js/analytics.js"></script>
Содержание analytics.js:
ga('create', 'UA-XXXX-Y', 'auto');
ga('send', 'pageview');
СНТ:
Header set Content-Security-Policy "script-src 'self' https://www.google-analytics.com https://ssl.google-analytics.com; object-src 'self'"
Это непроверено - я не проверял, получает ли Google Analytics данные, но нет никаких ошибок консоли или CSP. Пальцы пересекли.