從CSP標頭中刪除不安全評估後，Google跟蹤代碼管理器控制檯出錯

Question

出於安全原因，我們需要從應用程序的內容安全策略標題中刪除unsafe-eval。但取出後，我們得到（），我們增加了一個控制檯錯誤說

調用EVAL或阻止CSP

相關功能「https://www.googletagmanager.com」域到script-src爲好，但仍提示錯誤。

有沒有一種方法只允許unsafe-eval谷歌標籤管理器域？或者會有其他的選擇嗎？

樣品分析代碼段是低於我們在腳本中使用

(function (w, d, s, l, i) { 
    w[l] = w[l] || []; w[l].push({ 
     'gtm.start': 
      new Date().getTime(), event: 'gtm.js' 
    }); var f = d.getElementsByTagName(s)[0], 
      j = d.createElement(s), dl = l != 'dataLayer' ? '&l=' + l : ''; j.async = true; j.src = 
       '//www.googletagmanager.com/gtm.js?id=' + i + dl; f.parentNode.insertBefore(j, f); 
})(window, document, 'script', 'dataLayer', 'GTM-123456'); 

Answer 1

根據this Lunametrics article GTM使用eval的自定義JavaScript變量：

[...]腳本可以執行因此， 現在將成爲額外的eval（），用於自定義JavaScript變量 ，您將參數傳遞給

事實上，當我添加自定義JS變量的容器沒有任何下面這段代碼被添加到gtm.js文件之前：

// Copyright 2012 Google Inc. All rights reserved. 
// Container Version: QUICK_PREVIEW 
(function(w,g){w[g]=w[g]||{};w[g].e=function(s){return eval(s);};})(window,'google_tag_manager');(function(){ 

var __c;__c=function(a){return a["39"]};__c.a="c";__c.b=["google"];__c.isVendorTemplate=!0; 

（注意：在使用eval評論後的第一行）。

所以我懷疑如果你沒有自定義的javascript變量，刪除unsafe-eval 可能會工作。