Блог

Главная - Вопросы по программированию - Политика безопасности контента — отказано в загрузке скрипта из Google analytics — правила CSP верны

Политика безопасности контента — отказано в загрузке скрипта из Google analytics — правила CSP верны

#jquery #symfony #google-analytics #inline #content-security-policy

#jquery #symfony #google-analytics #встроенный #политика безопасности контента

Вопрос:

У меня проблема при настройке правил CSP на сервере.

На сервере я установил для: заголовка Content-Security-Policy значение:

default-src 'self';script-src 'self' 'report-sample' www.google-analytics.com

При обновлении браузера я получил : введите описание изображения здесь

Когда проверяете исходный код js, это библиотека jquery.

Как я могу это исправить? Спасибо

настройте csp : введите описание изображения здесь

Ошибка в браузере введите описание изображения здесь

Комментарии:

1. попробуйте добавить https:// в www.google-analytics.com свое правило

2. @Kosh . Та же ошибка

3. Это нормально установить в заголовке или мета-теге: developer.mozilla.org/en-US/docs/Web/HTTP/CSP

4. @Jonathan, я пробовал это, но ничего не изменилось

5. ошибка в браузере показывает «образец отчета», но заголовок этого не включает. кроме того, удалите пробел после .com перед ; и, черт возьми, повторно введите всю строку https://www.google-analytics.com , чтобы убедиться, что там нет ничего странного.

Ответ №1:

Пара вещей.

Ответ содержится в сообщении об ошибке. В нем говорится, что нарушение от script-src .

Он печатает значение script-src по мере его анализа и не включает www.google-analytics.com при печати значения.

Итак — достаньте ‘report-sample’ и посмотрите, что изменилось.

Далее, глядя на синтаксис скрипта-src, требуется схема или номер порта. замените хост на https://www.googleanalytics.com .

Поиск в Google для csp и Google-analytics возвращает несколько результатов — это из ресурса поддержки Google:

Это не ограничивается google-analytics, но может помочь получить правильные URI в политике CSP.

 Content-Security-Policy: default-src 'self'; script-src: https://www.google-analytics.com https://ssl.google-analytics.com; img-src: https://www.google-analytics.com
connect-src: https://www.google-analytics.com

Если у вас все еще возникают проблемы, покажите нам образец заголовков из инструментов разработчика, вкладка сеть.

Комментарии:

1. Политика безопасности контента: по умолчанию-src ‘self’; скрипт-src ‘self’ google-analytics.com ;стиль-src ‘report-sample’ ‘self’ ‘sha256-47DEQpj8HBSa /TImW 5JCeuQeRkm5NMpJWZG3hSuFU=’ ‘sha256-/PVkO2 mUlKqE6wgKVXU5Wh4mx3vncHAxLEdpXrziGo=’ ;объект-src ‘none’; база -uri ‘self’;connect-src ‘self’;шрифт-src fonts.gstatic.com ‘self’;frame-src ‘self’;img-src ‘self’ google-analytics.com данные:;манифест-src ‘self’; медиа-src ‘self’; отчет-uri 5f3f65f2b641482c3e7cf5ab.endpoint.csper.io /;worker-src ‘none’;

2. добавьте это к своему вопросу. добавьте ‘https: //’ к URL-адресам Google и повторите попытку. также поместите новое сообщение об ошибке в вопрос.

3. Та же проблема со стилем директивы-src использует хэш