内容安全策略,包括 gumroad 脚本

【问题标题】:Content security policy including a gumroad script内容安全策略,包括 gumroad 脚本
【发布时间】:2021-01-27 07:42:07
【问题描述】:

我正在使用包含 Gumroad 脚本的 Wordpress 开发一个网站,在控制台中它会引发以下错误:

extended_bundle-2dd0f46384e8ed974d932b1190b99d42941abe18a7b69f4e8bd492fa0a309a13.js:1 Refused to connect to 'https://stats.g.doubleclick.net/j/collect?t=dc&aip=1&_r=3&v=1&_v=j87&tid=UA-29108090-1&cid=256380548.1611057176 &jid=2069832337&gjid=1027868402&_gid=88988440.1611562559&_u=SCCAiEADRAAAAE~&z=875389156' 因为它违反了以下内容安全策略指令:“connect-src 'self' bam.nr-data.net www.dropbox.coms3.3amazonaws.com/gumroad .amazonaws.com/gumroad/ www.google.com www.gstatic.com *.facebook.com *.facebook.net files.gumroad.com/ d1bdh6c3ceakz5.cloudfront.net/ *.braintreegateway.com www.paypalobjects.com *.paypal.com *. Braintree-api.com iframe.ly gumroad.com”。

我试图通过将信息放入元数据中来修复它,但我确定我错了。解决此问题的最佳解决方案是什么? (我以前从未遇到过这个问题)。

<meta http-equiv="Content-Security-Policy" content="default-src https 'self'; child-src * data: blob:; connect-src 'self' bam.nr-data.net www.dropbox.com s3.amazonaws.com/gumroad s3.amazonaws.com/gumroad/ www.google.com www.gstatic.com *.facebook.com *.facebook.net files.gumroad.com/ d1bdh6c3ceakz5.cloudfront.net/ *.braintreegateway.com www.paypalobjects.com *.paypal.com *.braintree-api.com iframe.ly gumroad.com; font-src * data: blob:; frame-src * data: blob:; img-src * data: blob:; media-src * data: blob:; object-src * data: blob:; script-src 'self' 'unsafe-eval' ajax.cloudflare.com static.cloudflareinsights.com js.stripe.com api.stripe.com *.braintreegateway.com *.braintree-api.com www.paypalobjects.com *.paypal.com www.google-analytics.com *.g.doubleclick.net optimize.google.com www.googleadservices.com www.google.com www.gstatic.com *.facebook.net *.facebook.com *.newrelic.com *.nr-data.net www.dropbox.com s.ytimg.com *.jwpcdn.com content.jwplatform.com/libraries/3vz4Z4wu.js *.jwpsrv.com blob: 'self' data: gumroad.us3.list-manage.com analytics.twitter.com 'sha256-VM/GRb7zfHAoT0vOuAlUed7we+jp8z0wsVKkGxFFsqI=' gumroad.com assets.gumroad.com; style-src 'self' 'unsafe-inline' s.ytimg.com ssl.p.jwpcdn.com optimize.google.com assets.gumroad.com; worker-src * data: blob:">

【问题讨论】:

    标签: content-security-policy


    【解决方案1】:

    我试图通过将信息放入元数据中来修复它,但我确定我错了。

    要解决此问题,您必须将 https://stats.g.doubleclick.net host-source 添加到 connect-src 指令。

    发布 CSP 有两种方式:

    1. 通过元标记&lt;meta http-equiv="Content-Security-Policy" content="..."&gt;
    2. 通过HTTP头"Content-Security-Policy: ..."

    避免同时使用两种方式 - 如果有 2 个 CSP,规则将以逻辑“AND”连接,您将无法获得预期结果。

    因此,您需要知道您的 Wordpress 以哪种方式发布 CSP,然后将 https://stats.g.doubleclick.net 添加到 meta OR 到 HTTP-header 中。

    通常 WP 使用插件来发布 CSP。也可以在.htaccess文件中发布。

    注意 1:如果您将 iframe 与第三方内容(一些外部小部件、Google 身份验证等)一起使用,您描述的控制台错误可能不是您的错误。因为浏览器使用一个控制台在任何 iframe 中显示 CSP 违规。
    此外,您可能已经安装了一些试图修改查看页面的浏览器插件。这也可能导致 CSP 违规。

    但看起来它是由您在网页中放置的 Google Adsense 引起的。 `https://stats.g.doubleclick.net。用于收集 Google Ads 的统计信息。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2020-12-16
      • 2021-10-13
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-09-15
      • 2017-07-04
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode