内容安全策略和mod_pagespeed evals
问题描述:
我正在尝试为我的网站设置CPS规则。此外,我尝试阻止使用脚本'unsafe-eval'
,但我发现mod_pagespeeds使用它很多。这里是一些由网页上的mod_pagespeeds生成的代码:内容安全策略和mod_pagespeed evals
<script>eval(mod_pagespeed_N_OeYaMDDO);</script> <script>eval(mod_pagespeed_vvygFO_kog);</script>
如何解决此问题?
还有一些插件安装在网站上(基于WordPress)喜欢添加内联脚本。有没有办法解决这个问题呢?
还有最后一个问题。对于样式使用'unsafe-inline'
的想法有多糟糕?谷歌给出了使用内联样式进行快速页面加载的建议,但CPS说这是不好的做法。谁相信?
答
从文档:
由于1.13.35.1的PageSpeed的是能够根据 在响应头指定的任何内容安全策略,以适应其优化。在此版本中,您需要选择加入此功能,未来版本可能会默认打开它。
要订阅进行以下配置:ModPagespeedHonorCsp on
我启用了上面我的服务器上,并取出不安全-EVAL作为允许CSP脚本源。然而,mod_pagespeed似乎忽略了这一点,并仍然使用evals。 Chrome开发工具控制台显示了不少错误。我在这里记录了这个问题:
https://groups.google.com/forum/#!topic/mod-pagespeed-discuss/65Emhm1O1xs