HTTP-заголовок Content-Security-Policy предназначен для блокировки встроенного script и ресурсов от ненадежных серверов. Однако примерный фрагмент кода Google Analytics зависит от обоих. Каковы наилучшие практики в этой области?
Это заголовок Content-Security-Policy, который я использую в настоящее время:
default-src 'self'; script-src 'self' https://ssl.google-analytics.com; img-src 'self' http://www.google-analytics.com/__utm.gif https://ssl.google-analytics.com/__utm.gif;
До сих пор я сделал следующее:
Я добавил два тега script в свой html:
<script src="/js/google-analytics.js"></script>
<script src="https://ssl.google-analytics.com/ga.js" async="true"></script>
google-analytics.js устанавливает массив _gaq с помощью _setAccount и _trackPageview.
Я добавил домен для ga.js в script -src.
Я заметил, что ga.js загружает два изображения, поэтому я добавил их в img-src.
Есть ли что-то, что мне не хватает? Будет ли Google меняться на меня и нарушать все это? Есть ли официальная рекомендация?
Спасибо.
В основном это правильно:
Вам не нужен путь к изображению, только порт протокола + хост + (подразумеваемый)
В своей реализации CSP Firefox немного отличается. Для более старых версий замените default-src на allow. Было отключено, когда Firefox поддерживал default-src как равный allow, но большинство из них все еще реализуется с помощью allow, пока он полностью не поддерживает спецификацию (без цитирования).