背景
我有一个使用谷歌分析的网站,比如
<script
src="https://www.google-analytics.com/analytics.js"/>
并使用 Mozilla Observatory 对其进行安全漏洞测试。
问题
我有来自 Mozilla 天文台的以下问题:
未实现子资源完整性 (SRI),但所有外部脚本均通过 HTTPS 加载
思念至今
似乎无法为其创建哈希,例如通过https://www.srihash.org/。而且我不想在本地创建哈希,因为如果analytics.js更改,它将破坏站点。
我可以使用 anonce但我不确定如何在每个请求中生成它。
我正在考虑analytics.js在本地下载和使用它。这样做有什么缺点吗?
提前致谢