我目前正在开发一个网站/博客项目,仅使用 HTML、CSS 和 JavaScript。 我还使用 Google Adsense(内嵌广告 + 让 Google 自动放置广告)和联属链接(仅来自 1 个来源)。
运行 Lighthouse 报告时,我在最佳实践中获得 100%,但是,消息“确保 CSP 有效抵御 XSS 攻击”让我摸不着头脑。
我尝试了几种组合来使内容安全策略 (CSP) 与 Google Adsense 配合使用,但到目前为止,我只能完全阻止广告显示或收到错误消息。
我使用的代码:
<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://pagead2.googlesyndication.com; object-src 'self';">
我想知道这样的内容安全策略(CSP)对于我的情况是否绝对必要。 所以这就是我希望回答的问题:
1- 我如何实施内容安全策略 (CSP),以便它与 Google Adsense 配合使用,以及如何为我使用的联属计划添加 CSP(假设 CSP 适用于我的情况)?
看起来 AdSense 并非设计用于与 CSP 一起使用。如果不确保所有内容兼容并且用户传递正确的随机数,AdSense 可能无法向您的网页添加内容(可能是脚本)。 AdSense 可能得出的结论是,高采用成本与低使用率相关,使得任何一方都不值得投资。