Google Adwords CSP script-src

Question

私はGoogle Adwords変換スクリプトをWebアプリケーションに統合したいので、これを可能にするためにCSPルールを拡張する必要があります。

私は問題に直面しているhttps://www.google.xx/ads/にscript-srcポリシーを許可します。地域によってはドメインが変更されるようです。

例えば、私はスイスでのページにアクセスした場合、許可されたスクリプトはhttps://www.google.ch/ads/する必要がありますが、私はルーマニアでそれをアクセスする場合、許可されたスクリプトは、私は私のポリシー内のすべてのドメインを可能性がありますどのようにhttps://www.google.ro/ads/など

する必要があります世界のすべての国と地域をリストする必要はありませんか？助けを事前に

が

Thxを

PS：コンソールスタックトレース

スクリプト「 https://www.google.ro/ads/user-lists/8をロードするために拒否

...

PPS：私はnonceを使用して、それをホワイトリストに登録しようとしたが、次のスクリプトはこのようにホワイトリストに登録できません。

<script nonce="random-base64"> 
    window.dataLayer = window.dataLayer || []; 
    var gtag = function gtag(){ // <---- There, CSP problem 
    dataLayer.push(arguments); 
    }; 
    gtag('js', new Date()); 

    gtag('config', 'SOMETHING'); 
</script> 

P.P.P.S .: img-srcbtwと同じ問題が発生します。 Google Adwords CSP (content security policy) img-src

Answer 1

世界のすべての国と地域を一覧表示せずに、ポリシー内のすべてのドメインを許可するにはどうすればよいですか？

あなたはありません。 TLDレベルのホワイトリストはありません。正当な理由があります。同じメインドメインを持つ別のTLDが同じエンティティであることを保証できないため、ワイルドカードは意味をなさないでしょう。

私はこの問題を抱えていましたが、基本的にあなたの唯一のオプションは過剰なホワイトリスト（可能なすべてのドメインを手動でリストし、新しいドメインを追加しないことを望んでいます）、さらには過剰なグローバルホワイトリスト極端に推奨されていない）、または最も一般的な起源の国をリストし、いくつかのジオラカラが除外されることを受け入れるだけです。

第3のオプションは一般的には最高ですが、私はアドワーズではなくアドワーズ広告を使用していますが、トラフィックの大部分は米国から来ており、ヒット数の少ないいくつかの特定の国の広告のインプレッションを失うことはありません不条理なリスト。

実際の唯一の解決策は、Googleから来ている可能性があります。異なるTLDからのリソースの提供を停止する必要があります（IMO、HREF LANGタグは事実上すべてのケースでひどい練習です）。 Googleの驚くべき種類のものは、2018年にCSPが中程度の大規模な取引を行っているにもかかわらず、今でもそうです。

img-srcについては、https: IMOを使用してください。予期せぬサードパーティのドメインセットを扱っている場合は、画像を積極的に読み込んでも構いません。 CSPは危険なコンテンツをブロックするためのものです。 img-srcはかなり低いリスク要因であり、実際の害を引き起こすために2番目の悪用とかなり混在しなければなりません。