我们的网站基于 WordPress 工具设计并发布在 Azure 网络服务上。我们的目标是使用谷歌分析来检查流量。由于这个事实,我们页面的标题部分添加了google分析标签,导致以下错误:
拒绝加载脚本“https://www.googletagmanager.com/gtag/js?id=??”因为它违反了以下内容安全策略指令:“script-src 'self' 'unsafe-eval' 'unsafe-inline' *.msecnd.net *.google.com *.gstatic.com”。请注意,'script-src-elem' 没有显式设置,因此 'script-src' 用作备用。
我了解违反内容安全政策是主要问题。因此,我在标题中添加了元(Content-Security-Policy: script-src 'unsafe-inline') 但问题并没有消失。我将不胜感激。
【问题讨论】:
标签: wordpress content-security-policy
由于您违反了内容安全政策 (CSP),因此您已经在页面上发布了第一个 CSP。
通过元标记(甚至通过第二个 HTTP 标头)添加第二个 CSP 不会解决问题,因为所有源都应该通过两个 CSP 才能被允许。
因此,您必须将第一个 CSP 中的阻止源 (https://www.googletagmanager.com) 添加到 script-src 'self' 'unsafe-eval' 'unsafe-inline' *.msecnd.net *.google.com *.gstatic.com;。
检查您的 WP 是否安装了一些插件来管理 CSP,或者 CSP 是否发布在 .htaccess 文件中。
由于您在script-src 中有'unsafe-eval' 'unsafe-inline',因此您在使用 Google 跟踪代码管理器 (GTM) 时应该没有问题。
无论如何,您可以check CSP for your GTM-XXXXXX ID - GTM 会加载哪些附加脚本以及在您的特定情况下需要哪些令牌。
【讨论】:
script-src 'self' 'unsafe-eval' 'unsafe-inline' *.msecnd.net *.google.com *.gstatic.com; 被提及为违反 CSP 的原因。 WP 中的 CSP 也可以通过header() func 在 PHP 代码中公开。您必须找到此 CSP 的发布位置并在此处添加 https://www.googletagmanager.com。