Google Analytics会将跟踪发送到国家/地区域,因此会被CSP阻止

时间:2016-08-22 08:40:25

标签: javascript meteor google-analytics content-security-policy

我嵌入了这样的分析:

<script type="text/javascript" async="" src="http://www.google-analytics.com/plugins/ua/linkid.js"></script>

然后我将一些谷歌域名添加到CSP中:

BrowserPolicy.content.allowScriptOrigin("*.google-analytics.com");
BrowserPolicy.content.allowImageOrigin("*.google.com");

此加载正常,但只要Google Analytics尝试发送一些跟踪信息,它有时会尝试从google.pl加载图片(基于位置)。有没有办法确保只使用.com?我显然无法在CSP标题中列出所有谷歌域名。

确切的错误是:

  

拒绝加载图片“https://www.google.pl/blabla”,因为它   违反了以下内容安全策略指令:“img-src   数据:'self'http://*.doubleclick.net https://*.doubleclick.net   http://*.facebook.com https://*.facebook.com http://*.google.com   https://*.google.com http://www.google-analytics.com   https://www.google-analytics.com”。

如果它很重要,这里使用的框架是:Meteor 1.3.5.1和浏览器策略包browser-policy@1.0.9

1 个答案:

答案 0 :(得分:1)

一种解决方案是使用Geo IP来尝试猜测域。你可能总是动态地包含.com和国家域名,但我怀疑这是一个可靠的解决方案。

相关问题
最新问题