Установка счетчика Яндекс.Метрики на сайт с Content Security Policy (CSP)

Внимание! Все сообщения на форуме проходят модерацию. Ваше сообщение появится после проверки.

Михаил Базаров: 17.11.2024 04:00:00

Установка счетчика Яндекс.Метрики на сайт с Content Security Policy (CSP)

Если на вашем сайте не отображаются данные о кликах и скроллинге в Яндекс.Метрике, вероятнее всего, это связано с настройками Content Security Policy (CSP). Ошибка возникает из-за того, что скрипт Яндекс.Метрики загружается динамически, и если политика CSP не позволяет это делать, то скрипт блокируется. В случае с Яндекс.Метрикой важно, чтобы в CSP был указан правильный источник и использовался механизм nonce (одноразовый случайный ключ).

Михаил Базаров: 17.11.2024 04:00:00

img-src — для разрешения обработки содержимого элемента noscript.

Content-Security-Policy: img-src
connect-src — для подключения к Яндекс Метрике.

Content-Security-Policy: connect-src
child-src с указанием строки blob: mc.yandex.ru для правильной работы Вебвизора, карт

кликов, ссылок и скроллинга.
Content-Security-Policy: child-src blob:
frame-src с указанием строки blob: mc.yandex.ru для правильной работы Вебвизора, карт

кликов, ссылок и скроллинга.
Content-Security-Policy: frame-src blob:

Пример HTTP-заголовка при использовании данного способа:

Код
... img-src mc.yandex.ru; script-src mc.yandex.ru https://yastatic.net 'nonce-<последовательность символов>'; connect-src mc.yandex.ru; ...