Content-Security-Policy (CSP) header 旨在保护您的应用程序免遭Web应用程序中的恶意资源注入(inject)。为简单起见，您为所有图像，脚本，样式等提供了允许的域来源白名单。

同时，营销团队正在使用Google Tag Manager (GTM)来管理标签。原理是从页面收集信息，将其发送到GTM，然后将这些数据用作变量来生成标签，模板化JS / HTML和这些变量的混合。

问题在于这些标记中的大多数都包含javascript，用于将非常具体的数据发送到跟踪器，广告服务器或任何合作伙伴。假设我的营销团队知道安全风险，并且不包含恶意脚本。

有没有办法知道GTM导入了哪些域，以便可以将其自动添加到我的CSP中？

我认为不会有开箱即用的方法。
您可以做的是使用GTM API(https://developers.google.com/tag-manager/api/v1/reference/accounts/containers/tags/list)，基本上可以遍历所有“自定义HTML”和“自定义图像”标记并收集主机名