Заголовок Google Analytics и Content-Security-Policy
HTTP-заголовок Content-Security-Policy предназначен для блокировки встроенного сценария и ресурсов от ненадежных серверов. Однако пример фрагмента кода Google Analytics зависит от того и другого. Каковы лучшие практики в этой области?
Это заголовок Content-Security-Policy, который ям в настоящее время использует:
default-src 'self'; script-src 'self' https://ssl.google-analytics.com; img-src 'self' http://www.google-analytics.com/__utm.gif https://ssl.google-analytics.com/__utm.gif;
Пока что ямы сделали следующее:
Я добавил два тега сценария в мой HTML:
google-analytics.js устанавливает массив _gaq с помощью _setAccount и _trackPageview.
Я добавил домен для ga.js в скрипт-src.
Я заметил, что ga.js загружает два изображения, поэтому я добавил их в img-src.
Есть ли что-нибудь, что ям отсутствует? Будет ли Google изменить вещи на меня и сломать все это? Есть ли официальные рекомендации?