问题描述
背景
我有一个使用Google Analytics(分析)的网站,例如
<script
src="https://www.google-analytics.com/analytics.js"/>
并使用Mozilla天文台对其进行安全性缺陷测试。
问题
我在Mozilla天文台遇到以下问题:
子资源完整性(SRI)未实现,但所有外部脚本均通过HTTPS加载
到目前为止的想法
似乎无法为其创建哈希,例如通过https://www.srihash.org/。而且我不想在本地创建哈希,因为如果analytics.js发生更改,它将破坏站点。
我可以使用nonce,但不确定如何在每个请求中生成它。
我正在考虑下载analytics.js并在本地使用它。这样做有不利之处吗?
预先感谢
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)