Quantcast的CSP设置

Question

我是整合在我的网站，昆特卡斯特脚本跟踪观众。当页面在浏览器中加载时，我会看到下面的错误。我知道这是一个编码为base64的脚本，但是如何允许它使用CSP和CORS头执行呢？

拒绝加载脚本的数据:application/javascript；base64 64，ZnVuY3Rpb24gcXVhbnRzZXJ2ZSgpe30=‘，因为它违反了以下内容安全策略指令：" script -src 'self’不安全-内联‘’不安全-eval‘*.cloudflare.com *.quantserve.com“。

以下是我的标题：

headers {
    contentSecurityPolicy = "default-src 'self' *.cloudflare.com *.quantserve.com;"
    contentSecurityPolicy = ${play.filters.headers.contentSecurityPolicy}" img-src 'self' *.fbcdn.net *.twimg.com *.googleusercontent.com *.xingassets.com *.vk.com *.yimg.com secure.gravatar.com *.stuffpoint.com *.pixabay.com;"
    contentSecurityPolicy = ${play.filters.headers.contentSecurityPolicy}" style-src 'self' 'unsafe-inline' cdnjs.cloudflare.com maxcdn.bootstrapcdn.com cdn.jsdelivr.net fonts.googleapis.com edge.quantserve.com;;"
    contentSecurityPolicy = ${play.filters.headers.contentSecurityPolicy}" font-src 'self' fonts.gstatic.com fonts.googleapis.com cdnjs.cloudflare.com;"
    contentSecurityPolicy = ${play.filters.headers.contentSecurityPolicy}" script-src 'self' 'unsafe-inline' 'unsafe-eval' *.cloudflare.com *.quantserve.com;"
    contentSecurityPolicy = ${play.filters.headers.contentSecurityPolicy}" connect-src 'self' twitter.com *.xing.com;"
    contentSecurityPolicy = ${play.filters.headers.contentSecurityPolicy}" frame-src 'self' 'unsafe-inline' 'unsafe-eval' edge.quantserve.com;"
}

Answer 1

将data:添加到script-src行。

contentSecurityPolicy = ${play.filters.headers.contentSecurityPolicy}" script-src 'self' 'unsafe-inline' 'unsafe-eval' data: *.cloudflare.com *.quantserve.com;"

注意:这通常有一些安全含义，但是您的script-src是如此的宽容，以至于它几乎没有提供任何保护。

Answer 2

处理此问题的更好方法是将其放置在文件中，而不是使用内联内标记。由于安全考虑允许unsafe-inline