尽管已将主机名添加到列表中,但 CSP (Content-Security-Policy) 违规 stats.g.doubleclick.net
CSP (Content-Security-Policy) Violation stats.g.doubleclick.net in spite of hostname added to list
我正在尝试将 CSP 添加到我们的网站,使用 report-only(到 report-uri.com)。
它似乎在大多数情况下都按预期工作,但即使将 URL 添加到 header.
,也会报告 google 相关站点
这里是 header 的相关部分,因为它出现在开发者工具中:
connect-src 'self' https://stats.g.doubleclick.net
我仍然遇到此违规行为:
"blocked-uri": "https://stats.g.doubleclick.net/j/collect"
我在其他 Google 相关网站上也遇到过类似问题。
问题是我们正在使用 Google 标签和分析,所以我无法阻止网站。
这个特殊问题似乎只来自 Chrome。
除了 blocked-uri,请注意报告中的 original-policy 字段 - 您的 CSP 是否符合 connect-src 'self' https://stats.g.doubleclick.net 规则。
看起来有些 ISP 违反了 RFC,将站点响应与 HTTP headers 一起缓存。至少在 CSP 更改后,在 2 周内会有违规报告在 original-policy 字段中包含旧 CSP。
感觉你最近更改了 connect-src 指令中的规则。
来源列表 connect-src 'self' https://stats.g.doubleclick.net not complete for Google Analytics, you can insert own Google Analytics ID and check. Here 是 GTM 内容安全策略的综合测试。
这是 GA + GTM 的初始 CSP。最初是因为虽然 GTM 你可以嵌入很多来自不同来源的 third-party 脚本。
我正在尝试将 CSP 添加到我们的网站,使用 report-only(到 report-uri.com)。 它似乎在大多数情况下都按预期工作,但即使将 URL 添加到 header.
,也会报告 google 相关站点这里是 header 的相关部分,因为它出现在开发者工具中: connect-src 'self' https://stats.g.doubleclick.net
我仍然遇到此违规行为: "blocked-uri": "https://stats.g.doubleclick.net/j/collect"
我在其他 Google 相关网站上也遇到过类似问题。
问题是我们正在使用 Google 标签和分析,所以我无法阻止网站。
这个特殊问题似乎只来自 Chrome。
除了 blocked-uri,请注意报告中的 original-policy 字段 - 您的 CSP 是否符合 connect-src 'self' https://stats.g.doubleclick.net 规则。
看起来有些 ISP 违反了 RFC,将站点响应与 HTTP headers 一起缓存。至少在 CSP 更改后,在 2 周内会有违规报告在 original-policy 字段中包含旧 CSP。
感觉你最近更改了 connect-src 指令中的规则。
来源列表 connect-src 'self' https://stats.g.doubleclick.net not complete for Google Analytics, you can insert own Google Analytics ID and check. Here 是 GTM 内容安全策略的综合测试。
这是 GA + GTM 的初始 CSP。最初是因为虽然 GTM 你可以嵌入很多来自不同来源的 third-party 脚本。