Content-Security-Policy (CSP) header 旨在保护您的应用程序免遭Web应用程序中的恶意资源注入(inject)。为简单起见,您为所有图像,脚本,样式等提供了允许的域来源白名单。
同时,营销团队正在使用Google Tag Manager (GTM)来管理标签。原理是从页面收集信息,将其发送到GTM,然后将这些数据用作变量来生成标签,模板化JS / HTML和这些变量的混合。
问题在于这些标记中的大多数都包含javascript,用于将非常具体的数据发送到跟踪器,广告服务器或任何合作伙伴。假设我的营销团队知道安全风险,并且不包含恶意脚本。
有没有办法知道GTM导入了哪些域,以便可以将其自动添加到我的CSP中?
最佳答案
我认为不会有开箱即用的方法。
您可以做的是使用GTM API(https://developers.google.com/tag-manager/api/v1/reference/accounts/containers/tags/list),基本上可以遍历所有“自定义HTML”和“自定义图像”标记并收集主机名
关于javascript - 如何使Google跟踪代码管理器和Content-Security-Policy共存?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/40974419/