我尝试将 nonce 添加到SCRIPT_SRC,但CSP抱怨adsbygoogle.js:
拒绝执行内联事件处理程序,因为它违反了以下内容安全策略指令:
"script-src 'self' *.facebook.net *.facebook.com www.google.com www.gstatic.com
google.com www.google-analytics.com adservice.google.com adservice.google.de
pagead2.googlesyndication.com www.pagead2.googlesyndication.com
https://pagead2.googlesyndication.com storage.googleapis.com
googleads.g.doubleclick.net ajax.googleapis.com 'nonce-5MallQacNWY+qLLMd5hwAGRaJXReVK7U'".
(anonymous) @ adsbygoogle.js:2887
它抱怨第2887行(我通过adsmingoogle adsysgoogle.js查看csp抱怨的行)。
我假设添加 nonce 将允许应用它的javascript文件中的任何内容,unsafe-inline除外。
还有另一种方法让谷歌adsense与CSP一起玩或者添加'unsafe-inline'是唯一的选择吗?
根据此stackoverflow回答https://stackoverflow.com/a/44867210/4496068,它将无法与CSP一起正常运行。