我正在尝试为我的网站设置CPS规则。此外,我试图阻止使用'unsafe-eval'脚本,但我发现mod_pagespeeds使用它很多。以下是mod_pagespeeds在网页上生成的一些代码:
<script>eval(mod_pagespeed_N_OeYaMDDO);</script> <script>eval(mod_pagespeed_vvygFO_kog);</script>
如何解决这个问题?
另外一些安装在网站上的插件(基于wordpress)喜欢添加内联脚本。有办法解决这个问题吗?
最后一个问题。将'unsafe-inline'用于样式的想法有多糟糕?谷歌提出了使用内联样式进行快速页面加载的建议,但CPS表示这是不好的做法。谁相信?
从文档:
从1.13.35.1开始,PageSpeed可以根据响应标头中指定的任何内容安全策略调整其优化。在此版本中,您需要选择加入此功能,未来的版本可能会默认启用它。
要选择加入配置以下内容:ModPagespeedHonorCsp on
我在我的服务器上启用了上述功能,并将unsafe-eval作为允许的CSP脚本源删除。然而,mod_pagespeed似乎忽略了这一点,仍然使用了evals。 Chrome开发工具控制台显示了很多错误。我在这里记录了问题:
https://groups.google.com/forum/#!topic/mod-pagespeed-discuss/65Emhm1O1xs