我们的网站是基于 WordPress 工具设计的,并发布在 Azure 网络服务上。我们的目标是使用谷歌分析来检查流量。由于这个事实,在我们页面的标题部分添加了谷歌分析标签,导致以下错误:
拒绝加载脚本“https://www.googletagmanager.com/gtag/js?id=??”因为它违反了以下内容安全策略指令:“script-src 'self' 'unsafe-eval' 'unsafe-inline' *.msecnd.net *.google.com *.gstatic.com”。请注意,'script-src-elem' 未明确设置,因此使用 'script-src' 作为后备。
我了解违反内容安全政策是主要问题。因此,我在标题中添加了元数据 (Content-Security-Policy: script-src 'unsafe-inline') 但问题并没有消失。我将不胜感激。
答案 0 :(得分:0)
由于您违反了内容安全政策 (CSP),因此您已经在该页面上发布了第一个 CSP。
通过元标记(甚至通过第二个 HTTP 标头)添加第二个 CSP 不会解决问题,因为所有源都应该通过两个 CSP 才能被允许。
因此您必须将第一个 CSP 中的阻止源 (https://www.googletagmanager.com) 添加到 script-src 'self' 'unsafe-eval' 'unsafe-inline' *.msecnd.net *.google.com *.gstatic.com;。
检查您的 WP 是否安装了一些插件来管理 CSP,或者 CSP 是否发布在 .htaccess 文件中。
由于您在 'unsafe-eval' 'unsafe-inline' 中有 script-src,因此您应该不会遇到 Google 跟踪代码管理器 (GTM) 的问题。
无论如何,您可以check CSP for your GTM-XXXXXX ID - GTM 加载了哪些附加脚本以及在您的特定情况下需要哪些令牌。