您好,
我看到有一种简洁明了的方法可以生成 gtm 的 nonce。是否可以在不安装 GTM 容器的情况下将 nonce 添加到 DOM 中?我想避免为我的脚本使用 unsafe-inline。
2 个赞
好问题,从技术上讲,我看不出为什么我们不应该包含 nonce,无论是否安装了 GTM。
将此标记为 #pr-welcome。
1 个赞
CSP 随机数也有助于解决 Cloudflare 问题。
Cloudflare 的 Super Bot Fight Mode 会注入内联脚本,文档中提到了使用随机数:
我在我的网站上收到的错误是:“拒绝执行脚本,因为它的哈希、随机数或‘unsafe-inline’未出现在内容安全策略的 script-src 指令中。”
我们的启动画面实现已经使用了 CSP nonces,这是 @Johani 构建的。
让类似的东西适用于 GTM 或 superbot 可能是相当可行的。
1 个赞
实际上……我的 unsafe-inline 刚刚停止工作了。您是否引入了一些破坏性更改?控制台报告:
请注意,如果源列表中存在哈希值或 nonce 值,则会忽略“unsafe-inline”
问题是,我什么都没改。是启动画面的 nonce 破坏了它吗?
因此,我丢失了一个月网络分析数据……
1 个赞