Подтвердить что ты не робот

Заголовок Google Analytics и Content-Security-Policy

HTTP-заголовок Content-Security-Policy предназначен для блокировки встроенного script и ресурсов от ненадежных серверов. Однако примерный фрагмент кода Google Analytics зависит от обоих. Каковы наилучшие практики в этой области?

Это заголовок Content-Security-Policy, который я использую в настоящее время:

default-src 'self'; script-src 'self' https://ssl.google-analytics.com; img-src 'self'  http://www.google-analytics.com/__utm.gif https://ssl.google-analytics.com/__utm.gif;

До сих пор я сделал следующее:

Я добавил два тега script в свой html:

<script src="/js/google-analytics.js"></script>
<script src="https://ssl.google-analytics.com/ga.js" async="true"></script>

google-analytics.js устанавливает массив _gaq с помощью _setAccount и _trackPageview.

Я добавил домен для ga.js в script -src.

Я заметил, что ga.js загружает два изображения, поэтому я добавил их в img-src.

Есть ли что-то, что мне не хватает? Будет ли Google меняться на меня и нарушать все это? Есть ли официальная рекомендация?

Спасибо.

4b9b3361

ОТВЕТЫ

Ответ 1

В основном это правильно:

  • Вам не нужен путь к изображению, только порт протокола + хост + (подразумеваемый)

  • В своей реализации CSP Firefox немного отличается. Для более старых версий замените default-src на allow. Было отключено, когда Firefox поддерживал default-src как равный allow, но большинство из них все еще реализуется с помощью allow, пока он полностью не поддерживает спецификацию (без цитирования).