我是否需要将*.xyz.com(其中xyz是Google Analytics(分析))添加为default-src
或script-src?
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="default-src 'self';" />
</customHeaders>
</httpProtocol>
</system.webServer>
如果要添加为script-src,是否需要像上面的示例一样保留default-src或仅将'self'添加到script-src?
另一件事是insafe-inline和unsafe-eval。如果将Google Analytics(分析)列入白名单,我是否也需要指定这些内容?这是一些信息...
除了列出域之外,script-src和style-src支持的另外两个功能是unsafe-inline和unsafe-eval:
unsafe-inline可以由style-src和script-src使用,以指示允许使用内联和标记。 CSP使用加入策略。也就是说,如果您不包括unsafe-inline,则所有内联和标签都将被阻止。 unsafe-inline还允许CSS的内联样式属性,并允许内联事件处理程序(onclick,onmouseover等)和javascript:URL(例如)。
unsafe-eval可以由script-src使用。 同样,它使用选择加入策略,因此,如果您的script-src没有明确包含unsafe-eval,则将进行任何动态代码评估-包括使用eval,Function构造函数, 并将字符串传递给setTimeout和setInterval的操作被阻止。