6
によってブロックされるので、国のドメインへのトラッキング送信しますGoogle Analyticsは、それが私はこのような分析を埋め込むCSP
<script type="text/javascript" async="" src="http://www.google-analytics.com/plugins/ua/linkid.js"></script>
それから私はこのようにCSPにいくつかのGoogleドメインを追加しました:
BrowserPolicy.content.allowScriptOrigin("*.google-analytics.com");
BrowserPolicy.content.allowImageOrigin("*.google.com");
このロードは正常ですが、アナリティクスがトラッキング情報を送信しようとすると、(場所に基づいて)google.plから画像を読み込もうとすることがあります。 .comだけが使用されていることを確認する方法はありますか?私は明らかにCSPヘッダー内のすべてのGoogleドメインを一覧表示することはできません。
正確なエラーは次のとおりである:「IMG-SRC データ: '自己' http://*.doubleclick.nethttps://*.doubleclick.net http://*.facebook.comhttps://*.facebook.comhttp://*.google.com
はそれ には、次のコンテンツセキュリティポリシーの指示に違反しているため、画像 'https://www.google.pl/blabla' をロードすることを拒否しました https://*.google.comhttp://www.google-analytics.com https://www.google-analytics.com "。
ことが重要である場合は、ここで使用されるフレームワークは、以下のとおりです。流星1.3.5.1、および
興味深いアイデアなので、少なくとも場所を検出してそのドメインをcspヘッダーに含めてブロックする可能性を減らすことができました –
イメージプロパティを完全に削除しすぎて面倒すぎました。私はインラインスクリプトを使用することを避けることができないので、私は画像が最も危険だと思う:) –