HTTP-заголовок Content-Security-Policy предназначен для блокировки встроенного сценария и ресурсов от ненадежных серверов. Однако пример фрагмента кода Google Analytics зависит от того и другого. Каковы лучшие практики в этой области?

Это заголовок Content-Security-Policy, который ям в настоящее время использует:

default-src 'self'; script-src 'self' https://ssl.google-analytics.com; img-src 'self'  http://www.google-analytics.com/__utm.gif https://ssl.google-analytics.com/__utm.gif;

Пока что ямы сделали следующее:

Я добавил два тега сценария в мой HTML:

google-analytics.js устанавливает массив _gaq с помощью _setAccount и _trackPageview.

Я добавил домен для ga.js в скрипт-src.

Я заметил, что ga.js загружает два изображения, поэтому я добавил их в img-src.

Есть ли что-нибудь, что ям отсутствует? Будет ли Google изменить вещи на меня и сломать все это? Есть ли официальные рекомендации?