内容安全策略(CSP)头部旨在保护您的 Web 应用程序免受恶意资源注入。简单来说,您可以提供一个允许所有图像、脚本、样式等资源的白名单。
与此同时,市场营销团队使用Google 标签管理器(GTM)来管理标签。其原理是从页面收集信息,将其发送到 GTM,并使用这些数据作为变量生成标签,其中包括模板化 JS/HTML 和这些变量。
问题是,大多数标签都包含 JavaScript,用于向跟踪器、广告服务器或其他合作伙伴发送非常特定的数据。假设我的营销团队已经意识到安全风险并不会包含恶意脚本。
是否有一种方法可以知道 GTM 导入了哪些域,以便可以自动将它们添加到我的 CSP 中?