我正在使用CSP nonce规则加载所有外部JS脚本，也就是说，我不会触发'unsafe-inline'。因此，它更安全。

奇怪的是，对于Google Analytics（分析）文件，浏览器阻止了由analytics.js脚本本身加载的文件的加载。



有没有使用nonces or hashes使用CSP加载不带'unsafe-inline'的Google Analytics（分析）的经验？

我敢打赌，script-src仅适用于您的内联GA脚本，但是GA后续发出的/collect请求就是image/gif请求。尝试使用img-src允许那些/collect调用：

Content-Security-Policy: img-src http://www.google-analytics.com
Content-Security-Policy: img-src https://www.google-analytics.com