我嵌入了这样的分析:
<script type="text/javascript" async="" src="http://www.google-analytics.com/plugins/ua/linkid.js"></script>
然后我将一些谷歌域名添加到CSP中:
BrowserPolicy.content.allowScriptOrigin("*.google-analytics.com");
BrowserPolicy.content.allowImageOrigin("*.google.com");
此加载正常,但只要Google Analytics尝试发送一些跟踪信息,它有时会尝试从google.pl加载图片(基于位置)。有没有办法确保只使用.com?我显然无法在CSP标题中列出所有谷歌域名。
确切的错误是:
拒绝加载图片“https://www.google.pl/blabla”,因为它 违反了以下内容安全策略指令:“img-src 数据:'self'http://*.doubleclick.net https://*.doubleclick.net http://*.facebook.com https://*.facebook.com http://*.google.com https://*.google.com http://www.google-analytics.com https://www.google-analytics.com”。
如果它很重要,这里使用的框架是:Meteor 1.3.5.1和浏览器策略包browser-policy@1.0.9
答案 0 :(得分:1)
一种解决方案是使用Geo IP来尝试猜测域。你可能总是动态地包含.com和国家域名,但我怀疑这是一个可靠的解决方案。