img-src要使用Google AdWords转换跟踪,还需要Content-Security-Policy标头指令中的哪些域/协议?
从测试开始,当我们调用时google_trackConversion,看起来浏览器会创建一个带有src的图像,该图像遵循各个域之间的302重定向链...
www.googleadservices.com -> googleads.g.doubleclick.net -> www.google.com -> www.google.co.uk
决赛.co.uk看起来很可疑.当我们从英国进行测试时,我们担心从其他国家/地区调用的跟踪会重定向到其他域.
为了跟踪工作,我们需要打开的完整域名列表是什么?
根据注释中的请求,第一个请求的示例路径组件是:
pagead/conversion/979383382/?random=1452934690748&cv=8&fst=1452934690748&num=1&fmt=3&label=jvoMCNP4umIQ1uiA0wM&guid=ON&u_h=1080&u_w=1920&u_ah=1033&u_aw=1920&u_cd=24&u_his=18&u_tz=0&u_java=false&u_nplug=5&u_nmime=7&frm=0&url=https%3A//beta.captevate.com/payment%3Flevel%3Da00&async=1
并且第二次重复转换,第一个请求的路径组件是
pagead/conversion/979383382/?random=1452934959209&cv=8&fst=1452934959209&num=1&fmt=3&label=jvoMCNP4umIQ1uiA0wM&guid=ON&u_h=1080&u_w=1920&u_ah=1033&u_aw=1920&u_cd=24&u_his=26&u_tz=0&u_java=false&u_nplug=5&u_nmime=7&frm=0&url=https%3A//beta.captevate.com/payment%3Flevel%3Da00&async=1
我使用免费的VPN服务从几个国家(荷兰和新加坡)连接,最后一次重定向没有发生:最终请求www.google.com是200.但是,我显然没有尝试从每个国家连接,所以我的原始问题代表.
不幸的是,解决这个问题的方法并不多.资源需要白名单(在远程资源的情况下,如此)或内联技巧(即nonce或sha256-...)CSP处于活动状态时.但是,在一天结束时,CSP仍然可以使您的网站更安全并保护大多数资源.
但是,根据您的目的,您仍然可以实现目标.
以下是一些选项:
将所有图像列入白名单.
当然,您可以简单地"*"在您的img-src指令中放置一个,但我想您已经知道并且选择不这样做,因为它会破坏CSP对图像的保护.
通过其他方式加载图像.
如果你所追求的只是专门锁定图像,并且比如说不太在乎XMLHttpRequest,你可以通过自定义加载像素,POST甚至通过
Tags | 热门标签
RankList | 热门文章
京公网安备 11010802040832号 | 京ICP备19059560号-6 