Question

我正在尝试为我的网站设置CPS规则。此外，我尝试阻止使用'unsafe-eval'脚本，但我发现mod_pagespeeds使用了很多。以下是mod_pagespeeds在网页上生成的一些代码：

<script>eval(mod_pagespeed_N_OeYaMDDO);</script> <script>eval(mod_pagespeed_vvygFO_kog);</script>

如何解决这个问题？

网站上安装的一些插件（基于wordpress）也喜欢添加内联脚本。有办法解决这个问题吗？

最后一个问题。将'unsafe-inline'用于样式的想法有多糟糕？谷歌提出了使用内联样式进行快速页面加载的建议，但CPS表示这是不好的做法。谁相信？

Answer 1

来自文档：

从1.13.35.1开始，PageSpeed能够根据其优化进行调整到响应标头中指定的任何内容安全策略。在此版本中，您需要选择加入此功能，未来版本可能会默认启用它。

要选择加入，请配置以下内容：ModPagespeedHonorCsp on

我在服务器上启用了上述功能，并将 unsafe-eval 删除为允许的CSP脚本源。然而，mod_pagespeed似乎忽略了这一点，仍然使用了evals。 Chrome开发工具控制台显示了很多错误。我在这里记录了这个问题：