4

我有一个使用 SSR 的 Vue 应用程序。为了实现 Content-Security-Policy,我使用了 GTM 片段的 nonce-aware 版本

但它并没有将noncegtm 注入到页面的所有脚本(特别是自定义 HTML 标记)中添加。我按照这里提到的解决方案解决了 Safari 上的问题。但它在ChromeFirefoxEdge上不起作用,我仍然看到这些标签的错误:

在此处输入图像描述

这是我的 CSP 设置:

default-src 'self';
base-uri 'self';
block-all-mixed-content;
font-src 'self' https: https://fonts.gstatic.com data:;
img-src 'self' https: data: https://www.google-analytics.com https://ssl.gstatic.com  https://www.gstatic.com https://www.googletagmanager.com;
object-src 'none';
script-src 'self' 'nonce-b62382357618aee340fc9dc596c94a19' https://www.google-analytics.com/ https://ssl.google-analytics.com https://tagmanager.google.com https://www.googletagmanager.com 127.0.0.1:*;
script-src-attr 'none';
style-src 'self' 'unsafe-inline' https://tagmanager.google.com https://fonts.googleapis.com;
upgrade-insecure-requests;
connect-src 'self' https://www.google-analytics.com https://stats.g.doubleclick.net;

经过数小时的研究,我发现了以下评论:

Chrome 屏蔽了 nonce 属性值,因此标签管理器无法获取它并将其存储为变量。

我不确定这是否真的是问题,但任何人都可以解释我如何在不使用unsafe-inline或哈希的情况下解决这个问题,因为即使在谷歌文档上似乎也没有标准的方法来修复它?

4

1 回答 1

0

在互联网上搜索了很多并阅读了不同的文章后,我发现这里提到的解决方案在 Safari 中运行良好,但在其他浏览器中却不行,因为:

Chrome、Safari 和 Edge 屏蔽了 nonce 属性值,因此 GTM 无法获取它并将其存储为变量。

考虑到这种将 传播nonce到自定义 HTML 标签的解决方案,我们继续应用以下更改来解决 Chrome、Firefox 和 Edge 上的这个问题。正如评论中所建议的,我们需要稍微修改一下 nonce-aware 脚本并将 nonce 放在一个data-属性中(然后浏览器不会屏蔽它),并将其推送到 dataLayer:

<!-- Google Tag Manager -->
<script
  nonce='{{YOUR_GTM_NONCE}}'
  data-gtm-nonce='{{YOUR_GTM_NONCE}}'
>
  (function(w,d,s,l,i){
    const gtmNonce = d.querySelector('[data-gtm-nonce]').dataset.gtmNonce;
    w[l]=w[l]||[];
    w[l].push({'nonce': gtmNonce});
    w[l].push({'gtm.start': new Date().getTime(),event:'gtm.js'});
    const f=d.getElementsByTagName(s)[0],j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';
    j.async=true;
    j.src='https://www.googletagmanager.com/gtm.js?id='+i+dl;
    j.setAttribute('nonce', gtmNonce);
    f.parentNode.insertBefore(j,f);
  })(window,document,'script','dataLayer','YOUR_GTM_ID');
</script>
<!-- End Google Tag Manager -->

然后在 GTM 中,您需要更改基于此解决方案定义 nonce 变量: 在此处输入图像描述

对此在此处输入图像描述

其余的将保持不变。

于 2021-03-17T15:53:55.283 回答