15

Content-Security-Policy HTTP ヘッダーは、信頼されていないサーバーからのインライン スクリプトとリソースをブロックするためのものです。ただし、サンプルの Google Analytics コード スニペットは両方に依存しています。この分野でのベストプラクティスは何ですか?

これは、私が現在使用している Content-Security-Policy ヘッダーです。

default-src 'self'; script-src 'self' https://ssl.google-analytics.com; img-src 'self'  http://www.google-analytics.com/__utm.gif https://ssl.google-analytics.com/__utm.gif;

これまでのところ、次のことを行いました。

HTML に 2 つのスクリプト タグを追加しました。

<script src="/js/google-analytics.js"></script>
<script src="https://ssl.google-analytics.com/ga.js" async="true"></script>

google-analytics.js は、_setAccount と _trackPageview を使用して _gaq 配列を設定します。

script-src に ga.js のドメインを追加しました。

ga.js が 2 つの画像をロードしていることに気付いたので、それらを img-src に追加しました。

足りないものはありますか?Google は私の状況を変えて、このすべてを壊してくれるでしょうか? 公式の推奨事項はありますか?

4

1 に答える 1

3

これはほとんど正しいです:

  1. イメージへのパスは必要ありません。プロトコル+ホスト+(暗黙の)ポートだけが必要です。

  2. Firefoxは、CSPの実装が少し異なります。古いバージョンの場合は、に置き換えdefault-srcallowください。Firefoxがdefault-src同等としてサポートされていたが、仕様を完全にサポートするまでallowほとんどの場合は実装されているというカットオフがありました(引用は含まれていません)。allow

于 2013-01-30T16:14:55.997 に答える