javascript - 为 analytics.js (google-analytics) 实现子资源完整性 (SRI) Mozilla Obersvatory
问题描述
背景
我有一个使用谷歌分析的网站,比如
<script
src="https://www.google-analytics.com/analytics.js"/>
并使用 Mozilla Observatory 对其进行安全漏洞测试。
问题
我有来自 Mozilla 天文台的以下问题:
未实现子资源完整性 (SRI),但所有外部脚本均通过 HTTPS 加载
思念至今
似乎无法为其创建哈希,例如通过https://www.srihash.org/。而且我不想在本地创建哈希,因为如果analytics.js
更改,它将破坏站点。
我可以使用 anonce
但我不确定如何在每个请求中生成它。
我正在考虑analytics.js
在本地下载和使用它。这样做有什么缺点吗?
提前致谢
解决方案
推荐阅读
- azure - 如何显示由 API 创建的 Azure DevOps wiki 附件
- msbuild - 生成的文件,放在obj目录下
- c++ - C++ 多维数组帮助:遍历以查找用户输入并在找到其他属性时返回
- c# - DateTime 标记构造函数时钟前进潜在错误
- python - 熊猫提取错误:“列必须与键长度相同”
- python - 将等高线转换为点集
- firebase - firebase Admin SDK 与 firebase 控制台网页有何不同?
- sql - TypeORM 无法删除具有 ManyToOne / OneToMany 关系的行
- mongodb - 对非常大的数据最有效的 MongoDB find() 查询
- autofill - 从 Excel 自动填充 Chrome