%20--%3e%3csvg%20version='1.1'%20id='Layer_1'%20xmlns='http://www.w3.org/2000/svg'%20xmlns:xlink='http://www.w3.org/1999/xlink'%20x='0px'%20y='0px'%20viewBox='0%200%20120.17%2045.43'%20style='enable-background:new%200%200%20120.17%2045.43;'%20xml:space='preserve'%3e%3cg%3e%3cpath%20d='M32.33,0v16.13c0,2.21-0.42,4.3-1.26,6.26c-0.84,1.97-2,3.7-3.49,5.18c-1.49,1.49-3.2,2.65-5.15,3.49%20c-1.94,0.84-4.04,1.26-6.3,1.26c-2.21,0-4.3-0.42-6.26-1.26c-1.97-0.84-3.68-2-5.15-3.49c-1.46-1.49-2.62-3.21-3.46-5.18%20C0.42,20.42,0,18.34,0,16.13V0h6.41v16.13c0,1.34,0.25,2.62,0.76,3.82c0.5,1.2,1.2,2.24,2.09,3.13c0.89,0.89,1.92,1.58,3.1,2.09%20c1.18,0.5,2.44,0.76,3.78,0.76c1.34,0,2.62-0.25,3.82-0.76c1.2-0.5,2.24-1.2,3.13-2.09c0.89-0.89,1.58-1.93,2.09-3.13%20c0.5-1.2,0.76-2.47,0.76-3.82V0H32.33z'%20fill='%232563eb'%20/%3e%3cpath%20d='M50.4,0.14c2.26,0,4.36,0.42,6.3,1.26c1.94,0.84,3.66,1.99,5.15,3.46c1.49,1.46,2.65,3.17,3.49,5.11%20c0.84,1.94,1.26,4.04,1.26,6.3c0,2.21-0.42,4.3-1.26,6.26c-0.84,1.97-2,3.7-3.49,5.18c-1.49,1.49-3.2,2.65-5.15,3.49%20c-1.94,0.84-4.04,1.26-6.3,1.26h-9.72v12.96h-6.41V16.27c0-2.26,0.42-4.36,1.26-6.3c0.84-1.94,1.99-3.65,3.46-5.11%20c1.46-1.46,3.18-2.62,5.15-3.46C46.1,0.56,48.19,0.14,50.4,0.14z%20M54.22,25.31c1.2-0.5,2.24-1.2,3.13-2.09%20c0.89-0.89,1.58-1.93,2.09-3.13c0.5-1.2,0.76-2.47,0.76-3.82c0-1.34-0.25-2.6-0.76-3.78c-0.5-1.18-1.2-2.21-2.09-3.1%20c-0.89-0.89-1.93-1.58-3.13-2.09c-1.2-0.5-2.47-0.76-3.82-0.76c-1.34,0-2.6,0.25-3.78,0.76c-1.18,0.5-2.21,1.2-3.1,2.09%20c-0.89,0.89-1.58,1.92-2.09,3.1c-0.5,1.18-0.76,2.44-0.76,3.78v9.79h9.72C51.74,26.06,53.02,25.81,54.22,25.31z'%20fill='%232563eb'/%3e%3cpath%20d='M94.03,20.95l4.54,4.54l-2.23,2.23c-1.54,1.54-3.29,2.71-5.26,3.53c-1.97,0.82-4.03,1.22-6.19,1.22%20c-2.16,0-4.22-0.41-6.19-1.22c-1.97-0.82-3.72-1.99-5.26-3.53c-1.58-1.58-2.76-3.37-3.53-5.36c-0.77-1.99-1.15-4.02-1.15-6.08%20c0-2.06,0.38-4.08,1.15-6.05c0.77-1.97,1.94-3.74,3.53-5.33s3.37-2.77,5.36-3.56c1.99-0.79,4.02-1.19,6.08-1.19%20c2.06,0,4.09,0.4,6.08,1.19c1.99,0.79,3.78,1.98,5.36,3.56l2.23,2.23L80.64,25.06c1.82,0.91,3.75,1.21,5.8,0.9%20c2.04-0.31,3.83-1.24,5.36-2.77L94.03,20.95z%20M77.98,9.36c-1.92,1.92-2.88,4.22-2.88,6.91c0,1.49,0.33,2.9,1.01,4.25%20c0.58-0.58,1.45-1.45,2.63-2.63c1.18-1.18,2.42-2.42,3.74-3.74c1.32-1.32,2.59-2.58,3.82-3.78c1.22-1.2,2.17-2.14,2.84-2.81%20c-1.83-0.91-3.76-1.22-5.8-0.94C81.3,6.91,79.51,7.82,77.98,9.36z'%20fill='%232563eb'%20/%3e%3cpath%20d='M120.17,0v6.41h-3.24c-1.35,0-2.61,0.25-3.78,0.76c-1.18,0.5-2.21,1.2-3.1,2.09c-0.89,0.89-1.58,1.92-2.09,3.1%20c-0.5,1.18-0.76,2.44-0.76,3.78v16.2h-6.48v-16.2c0-2.26,0.42-4.36,1.26-6.3c0.84-1.94,2-3.65,3.49-5.11%20c1.49-1.46,3.21-2.62,5.18-3.46c1.97-0.84,4.06-1.26,6.27-1.26H120.17z'%20fill='%232563eb'/%3e%3c/g%3e%3c/svg%3e){kind=small}
Content-Security-Policy (CSP) to nagłówek HTTP, który chroni witrynę przed atakami XSS i innymi zagrożeniami. Zbyt restrykcyjna polityka potrafi jednak zablokować usługi Google — GTM, Analytics czy Maps. Ten przewodnik pokazuje, jak skonfigurować CSP tak, aby wszystkie potrzebne usługi działały.
TL;DR — gotowy nagłówek CSP dla typowej strony
Jeśli potrzebujesz od razu działającego nagłówka CSP dla witryny z GTM, GA4, Google Maps, Fonts, reCAPTCHA i YouTube, zacznij od tego i dostosuj:
Content-Security-Policy:
default-src 'self';
script-src 'self' 'nonce-RANDOM' 'strict-dynamic'
https://www.googletagmanager.com
https://www.google-analytics.com
https://maps.googleapis.com
https://www.google.com/recaptcha/
https://www.gstatic.com/recaptcha/;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
font-src 'self' https://fonts.gstatic.com;
img-src 'self' data: blob:
https://*.google-analytics.com
https://*.googletagmanager.com
https://*.gstatic.com
https://*.googleapis.com
https://*.ggpht.com
https://i.ytimg.com;
connect-src 'self'
https://*.google-analytics.com
https://*.analytics.google.com
https://*.googletagmanager.com
https://stats.g.doubleclick.net
https://maps.googleapis.com;
frame-src
https://www.googletagmanager.com
https://www.google.com
https://www.youtube.com
https://www.youtube-nocookie.com;
worker-src 'self' blob:;
object-src 'none';
base-uri 'self';
form-action 'self';Zastąp RANDOM noncem generowanym per-request po stronie serwera. Zanim włączysz egzekwowanie, uruchom politykę w trybie Content-Security-Policy-Report-Only, żeby zobaczyć, co Twoja prawdziwa strona faktycznie ładuje.
Czym jest Content-Security-Policy?
CSP definiuje dozwolone źródła dla różnych typów zasobów (skrypty, style, obrazy, fonty). Przeglądarka blokuje wszystko, co nie jest jawnie dozwolone.
Podstawowa składnia
Content-Security-Policy: dyrektywa źródło1 źródło2; dyrektywa2 źródło3;Główne dyrektywy
| Dyrektywa | Kontroluje |
|---|---|
default-src | Domyślne źródło dla wszystkich typów |
script-src | Skrypty JavaScript |
style-src | Style CSS |
img-src | Obrazy |
font-src | Fonty |
connect-src | XHR, fetch, WebSocket |
frame-src | Iframes |
object-src | Pluginy (Flash, Java) |
Wartości źródeł
| Wartość | Znaczenie |
|---|---|
'self' | Ta sama domena |
'none' | Blokuj wszystko |
'unsafe-inline' | Dozwól inline (niebezpieczne!) |
'unsafe-eval' | Dozwól eval() (niebezpieczne!) |
'nonce-xyz' | Tylko skrypty z tym nonce |
'strict-dynamic' | Zaufaj skryptom ładowanym przez zaufane |
https: | Wszystkie źródła HTTPS |
*.example.com | Subdomena |
CSP dla Google Tag Manager
GTM wymaga wielu domen i funkcjonalności. Konfiguracja zależy od trybu (client-side vs server-side).
GTM client-side — minimalna konfiguracja
Content-Security-Policy:
script-src 'self' 'unsafe-inline' 'unsafe-eval'
https://www.googletagmanager.com
https://tagmanager.google.com;
img-src 'self' data:
https://www.googletagmanager.com
https://www.google-analytics.com
https://ssl.gstatic.com
https://www.gstatic.com;
connect-src 'self'
https://www.google-analytics.com
https://analytics.google.com
https://stats.g.doubleclick.net
https://region1.google-analytics.com;
frame-src
https://www.googletagmanager.com;Problem: GTM wymaga unsafe-inline i unsafe-eval
GTM dynamicznie wstrzykuje skrypty, co wymaga 'unsafe-inline'. Tagi Custom HTML mogą używać eval(). To znacząco osłabia CSP.
Rozwiązanie 1: nonce dla GTM
<!-- Generuj nonce po stronie serwera -->
<script nonce="abc123">
(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;
j.src='https://www.googletagmanager.com/gtm.js?id='+i+dl;
j.nonce='abc123';
f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXX');
</script>Content-Security-Policy:
script-src 'self' 'nonce-abc123' 'strict-dynamic'
https://www.googletagmanager.com;Rozwiązanie 2: server-side GTM
Server-side GTM znacząco upraszcza CSP:
Content-Security-Policy:
script-src 'self' 'nonce-abc123'
https://gtm.twojadomena.pl;
connect-src 'self'
https://gtm.twojadomena.pl;CSP dla Google Analytics 4
GA4 z gtag.js
Content-Security-Policy:
script-src 'self'
https://www.googletagmanager.com;
img-src 'self'
https://www.google-analytics.com
https://www.googletagmanager.com;
connect-src 'self'
https://www.google-analytics.com
https://analytics.google.com
https://region1.google-analytics.com
https://region2.google-analytics.com
https://region3.google-analytics.com;GA4 przez GTM
Jeśli ładujesz GA4 przez GTM, potrzebujesz kombinacji powyższych reguł. Zobacz też dobre praktyki dataLayer — poprawnie zaprojektowany dataLayer pozwala ograniczyć liczbę Custom HTML tagów, co bezpośrednio upraszcza politykę CSP.
CSP dla Google Maps
Maps JavaScript API
Content-Security-Policy:
script-src 'self' 'unsafe-inline'
https://maps.googleapis.com
https://maps.gstatic.com;
img-src 'self' data: blob:
https://maps.googleapis.com
https://maps.gstatic.com
https://*.ggpht.com
https://*.google.com
https://*.googleapis.com;
style-src 'self' 'unsafe-inline'
https://fonts.googleapis.com;
font-src 'self'
https://fonts.gstatic.com;
connect-src 'self'
https://maps.googleapis.com
https://places.googleapis.com;
frame-src
https://www.google.com;
worker-src blob:;Maps Embed API (iframe)
Content-Security-Policy:
frame-src
https://www.google.com
https://maps.google.com;CSP dla Google Fonts
Content-Security-Policy:
style-src 'self'
https://fonts.googleapis.com;
font-src 'self'
https://fonts.gstatic.com;Alternatywa: self-hosting fontów
Hostując fonty lokalnie, eliminujesz zewnętrzne zależności:
Content-Security-Policy:
font-src 'self';
style-src 'self';CSP dla Google reCAPTCHA
reCAPTCHA v2/v3
Content-Security-Policy:
script-src 'self'
https://www.google.com/recaptcha/
https://www.gstatic.com/recaptcha/;
frame-src
https://www.google.com/recaptcha/
https://recaptcha.google.com;
style-src 'self' 'unsafe-inline';CSP dla osadzeń YouTube
Content-Security-Policy:
frame-src
https://www.youtube.com
https://www.youtube-nocookie.com;
img-src 'self'
https://i.ytimg.com
https://img.youtube.com;Pułapka 1: sam youtube-nocookie.com nie wystarczy
Wiele stron używa youtube-nocookie.com ze względu na prywatność — i dodaje do whitelisty tylko tę domenę w frame-src. To rozbija embed w kilku sytuacjach:
- Overlay z polecanymi filmami na końcu klipu przekierowuje na
youtube.com. - Linki do kanału i logo w pasku playera otwierają
youtube.com. - Część zasobów chrome playera i tak ładuje się z
youtube.comniezależnie od tego, którą domenę osadzasz.
Rozwiązanie: zawsze dodawaj do whitelisty zarówno https://www.youtube-nocookie.com, jak i https://www.youtube.com w frame-src, nawet jeśli Twój <iframe src> wskazuje tylko na wersję bez cookies.
Pułapka 2: domeny miniaturek dla lite-embeds
Jeśli używasz wzorca “facade” (klikalna miniatura zamiast pełnego iframe) — popularne rozwiązanie dla wydajności — obrazek miniatury ładuje się z innej domeny niż sam player:
https://i.ytimg.com— domyślny host miniaturek (vi/VIDEO_ID/maxresdefault.jpg).https://img.youtube.com— starszy alias, wciąż używany przez niektóre biblioteki.
Obie muszą być w img-src, inaczej podgląd po cichu się nie załaduje i użytkownik zobaczy pusty placeholder.
Pułapka 3: Cross-Origin-Opener-Policy łamie YouTube
Jeśli zabezpieczasz witrynę nagłówkiem Cross-Origin-Opener-Policy: same-origin, iframe YouTube traci dostęp do popupów, które otwiera (logowanie, udostępnianie, full-screen). Player sprawia wrażenie, że działa, ale niektóre interakcje po cichu zawodzą i nie widać żadnego błędu CSP w konsoli. Rozwiązanie: przełącz na Cross-Origin-Opener-Policy: same-origin-allow-popups.
Po pełne wyjaśnienie COOP, COEP, CORP, crossOriginIsolated oraz jak odblokować SharedArrayBuffer bez łamania integracji third-party zobacz dedykowany przewodnik: COOP, COEP, CORP — cross-origin isolation po polsku.
Gotowa produkcyjna konfiguracja
Oto dokładny fragment, którego używamy na uper.pl — łączy GTM + GA4 + osadzenia YouTube w trybie no-cookie w jednym nagłówku:
Content-Security-Policy:
default-src 'self';
script-src 'self' 'unsafe-inline' 'unsafe-eval'
https://www.googletagmanager.com
https://tagmanager.google.com;
style-src 'self' 'unsafe-inline'
https://cdn.jsdelivr.net;
font-src 'self'
https://cdn.jsdelivr.net;
img-src 'self' data:
https://www.googletagmanager.com
https://www.google-analytics.com
https://ssl.gstatic.com
https://www.gstatic.com
https://i.ytimg.com;
connect-src 'self'
https://www.google-analytics.com
https://analytics.google.com
https://stats.g.doubleclick.net
https://*.google-analytics.com
https://*.analytics.google.com
https://*.googletagmanager.com;
frame-src
https://www.googletagmanager.com
https://www.youtube-nocookie.com
https://www.youtube.com;
object-src 'none';
base-uri 'self';
form-action 'self';
frame-ancestors 'self';W parze z Cross-Origin-Opener-Policy: same-origin-allow-popups oraz X-Frame-Options: SAMEORIGIN ta kombinacja przechodzi audyt Mozilla Observatory z oceną A+, a osadzenia YouTube działają bez zarzutu.
CSP dla Google Ads
Google Ads — śledzenie konwersji
Content-Security-Policy:
script-src 'self' 'unsafe-inline'
https://www.googleadservices.com
https://www.googletagmanager.com
https://googleads.g.doubleclick.net;
img-src 'self'
https://www.google.com
https://www.google.pl
https://googleads.g.doubleclick.net
https://www.googleadservices.com;
connect-src 'self'
https://www.google.com
https://pagead2.googlesyndication.com;
frame-src
https://bid.g.doubleclick.net
https://tpc.googlesyndication.com;Google AdSense
Content-Security-Policy:
script-src 'self' 'unsafe-inline' 'unsafe-eval'
https://pagead2.googlesyndication.com
https://adservice.google.com
https://www.googletagservices.com
https://partner.googleadservices.com;
img-src 'self' data:
https://pagead2.googlesyndication.com
https://tpc.googlesyndication.com
https://*.google.com;
frame-src
https://googleads.g.doubleclick.net
https://tpc.googlesyndication.com
https://www.google.com;
style-src 'self' 'unsafe-inline';CSP dla Google Consent Mode v2
Consent Mode v2 jest obowiązkowy dla ruchu z UE od marca 2024. Używa tych samych domen co GTM + GA4, ale wprowadza dwa niuanse:
- Cookiebot, Iubenda, OneTrust i inne CMP ładują się z własnych domen — dodaj do whitelisty tę, której używasz.
- Sygnały zgody są wysyłane, zanim użytkownik wyrazi zgodę (w stanie
denied), więcconnect-srcdo Google musi być otwarty od pierwszego wejścia na stronę, a nie dopiero po akceptacji.
Content-Security-Policy:
script-src 'self' 'nonce-abc123'
https://www.googletagmanager.com
https://consent.cookiebot.com
https://consentcdn.cookiebot.com;
connect-src 'self'
https://consent.cookiebot.com
https://consentcdn.cookiebot.com
https://www.google-analytics.com
https://region1.google-analytics.com;
frame-src
https://consent.cookiebot.com
https://consentcdn.cookiebot.com;Zobacz przewodnik wdrażania Consent Mode v2 oraz jak zweryfikować, że działa poprawnie.
CSP dla Google Identity Services (GIS) / One Tap
Google Identity Services zastąpiły starą bibliotekę gapi.auth2. Logowanie Google, One Tap oraz FedCM API używają tych domen:
Content-Security-Policy:
script-src 'self'
https://accounts.google.com/gsi/client;
connect-src 'self'
https://accounts.google.com/gsi/
https://accounts.google.com/.well-known/;
frame-src
https://accounts.google.com/gsi/
https://accounts.google.com/o/oauth2/;
style-src 'self' 'unsafe-inline'
https://accounts.google.com/gsi/style;Typowa pułapka: FedCM wymaga
frame-ancestorspo stronie Google, nie Twojej. Jeśli One Tap po cichu się nie renderuje, sprawdźaccounts.google.comw zakładce Network — błąd 403 zwykle oznacza, że Twoja strona nie znajduje się w authorized origins klienta OAuth w Google Cloud, a nie problem z CSP.
CSP dla Firebase (Auth, Firestore, Hosting)
Firebase obejmuje kilka usług Google. Każdy produkt wymaga własnego zestawu wpisów:
Content-Security-Policy:
script-src 'self'
https://www.gstatic.com/firebasejs/
https://apis.google.com
https://www.googleapis.com;
connect-src 'self'
https://*.firebaseio.com
https://*.firebaseapp.com
https://firestore.googleapis.com
https://identitytoolkit.googleapis.com
https://securetoken.googleapis.com
wss://*.firebaseio.com;
frame-src
https://*.firebaseapp.com;Firebase Auth używa signInWithRedirect, który otwiera __/auth/handler na Twojej subdomenie Firebase Hosting — pamiętaj, aby dodać ją do frame-src.
Kompletna konfiguracja dla typowej witryny
Strona z GTM, GA4, Maps i Fonts
Content-Security-Policy:
default-src 'self';
script-src 'self' 'unsafe-inline' 'unsafe-eval'
https://www.googletagmanager.com
https://tagmanager.google.com
https://www.google-analytics.com
https://maps.googleapis.com
https://maps.gstatic.com;
style-src 'self' 'unsafe-inline'
https://fonts.googleapis.com
https://tagmanager.google.com;
img-src 'self' data: blob:
https://www.googletagmanager.com
https://www.google-analytics.com
https://ssl.gstatic.com
https://www.gstatic.com
https://maps.googleapis.com
https://maps.gstatic.com
https://*.ggpht.com
https://*.google.com;
font-src 'self'
https://fonts.gstatic.com;
connect-src 'self'
https://www.google-analytics.com
https://analytics.google.com
https://region1.google-analytics.com
https://stats.g.doubleclick.net
https://maps.googleapis.com;
frame-src
https://www.googletagmanager.com
https://www.google.com
https://www.youtube.com;
object-src 'none';
base-uri 'self';
form-action 'self';Implementacja CSP
Apache (.htaccess)
Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://www.googletagmanager.com; ..."Nginx
add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://www.googletagmanager.com; ..." always;Node.js (Express)
const helmet = require('helmet');
app.use(helmet.contentSecurityPolicy({
directives: {
defaultSrc: ["'self'"],
scriptSrc: ["'self'", "https://www.googletagmanager.com"],
styleSrc: ["'self'", "'unsafe-inline'", "https://fonts.googleapis.com"],
imgSrc: ["'self'", "data:", "https://www.google-analytics.com"],
fontSrc: ["'self'", "https://fonts.gstatic.com"],
connectSrc: ["'self'", "https://www.google-analytics.com"],
frameSrc: ["https://www.googletagmanager.com"]
}
}));Netlify (netlify.toml)
[[headers]]
for = "/*"
[headers.values]
Content-Security-Policy = "default-src 'self'; script-src 'self' https://www.googletagmanager.com; ..."Vercel (vercel.json)
{
"headers": [
{
"source": "/(.*)",
"headers": [
{
"key": "Content-Security-Policy",
"value": "default-src 'self'; script-src 'self' https://www.googletagmanager.com; ..."
}
]
}
]
}Testowanie CSP
1. Tryb Report-Only
Zacznij od trybu raportowania, który nie blokuje, a jedynie loguje naruszenia:
Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report;2. DevTools przeglądarki
Konsola pokaże błędy CSP:
Refused to load the script 'https://example.com/script.js' because it violates the Content Security Policy directive: "script-src 'self'".3. CSP Evaluator
https://csp-evaluator.withgoogle.com/ — narzędzie Google do analizy CSP.
4. Observatory by Mozilla
https://observatory.mozilla.org/ — kompleksowy audyt bezpieczeństwa.
Raportowanie naruszeń CSP
Endpoint raportujący
Content-Security-Policy: default-src 'self'; report-uri /csp-report; report-to csp-endpoint;Odbieranie raportów (Node.js)
app.post('/csp-report', express.json({ type: 'application/csp-report' }), (req, res) => {
console.log('CSP Violation:', req.body['csp-report']);
res.status(204).end();
});Dobre praktyki
1. Zacznij restrykcyjnie
Content-Security-Policy: default-src 'none'; script-src 'self'; style-src 'self'; img-src 'self'; font-src 'self';Dodawaj źródła dopiero gdy są potrzebne.
2. Unikaj unsafe-inline i unsafe-eval
Jeśli to możliwe, używaj nonce lub hash zamiast 'unsafe-inline':
<script nonce="random123">
// Twój kod
</script>Content-Security-Policy: script-src 'nonce-random123';3. Używaj strict-dynamic
'strict-dynamic' pozwala zaufanym skryptom ładować kolejne:
Content-Security-Policy: script-src 'nonce-abc123' 'strict-dynamic';4. Rozważ server-side GTM
Server-side tagging drastycznie upraszcza CSP i zwiększa bezpieczeństwo.
5. Regularnie aktualizuj
Google może zmieniać domeny. Monitoruj raporty CSP i aktualizuj politykę.
Rozwiązywanie problemów — typowe błędy CSP i ich naprawa
Poniżej dokładne komunikaty, które zobaczysz w konsoli DevTools Chrome / Firefox, oraz co dodać do polityki, żeby je naprawić.
Refused to load the script 'https://www.googletagmanager.com/gtm.js'
Przyczyna: script-src nie zawiera GTM. Naprawa: dodaj https://www.googletagmanager.com do script-src.
Refused to apply inline style because it violates the following CSP directive: "style-src 'self'"
Przyczyna: GTM, Google Maps i reCAPTCHA wstrzykują style inline. Naprawa: dodaj 'unsafe-inline' do style-src lub użyj nonce, jeśli kontrolujesz wstrzykiwany kod. Hashe rzadko działają, bo style są generowane dynamicznie.
Refused to execute inline script because it violates the following CSP directive
Przyczyna: snippet GTM lub dataLayer push jest inline bez nonce. Opcje naprawy:
- Dodaj
'unsafe-inline'doscript-src(osłabia CSP). - Dodaj
nonce-xyzdo każdego inline’owego<script>ORAZ doscript-src. W połączeniu z'strict-dynamic'nonce pozwala GTM ładować kolejne tagi bez wypisywania wszystkich domen.
Refused to connect to 'https://region1.google-analytics.com/g/collect'
Przyczyna: GA4 wysyła hity na regionalne endpointy (region1, region2, …). Naprawa: użyj wildcardu: https://*.google-analytics.com w connect-src.
Refused to load the image 'https://stats.g.doubleclick.net/...'
Przyczyna: GA4 używa DoubleClick do pomiarów cross-site. Naprawa: dodaj https://stats.g.doubleclick.net do img-src i connect-src.
Refused to create a worker from 'blob:https://...'
Przyczyna: Google Maps używa Web Workers tworzonych z blob URL. Naprawa: dodaj worker-src 'self' blob: (oraz blob: do script-src, jeśli korzystasz ze starszego CSP Level 2 bez worker-src).
Refused to frame 'https://www.google.com/maps/embed'
Przyczyna: Maps Embed używa frame-src, nie img-src. Naprawa: dodaj https://www.google.com do frame-src.
reCAPTCHA pokazuje “Cannot contact reCAPTCHA”
Przyczyna: zwykle connect-src blokuje endpoint challenge’a. Naprawa: dodaj https://www.google.com/recaptcha/ do script-src i frame-src, oraz https://www.gstatic.com do script-src.
Raporty zalewają report-uri po wdrożeniu
Przyczyna: rozszerzenia przeglądarki (menedżery haseł, blokery reklam) wstrzykują skrypty i generują naruszenia CSP, z którymi nic nie zrobisz. Naprawa: filtruj raporty, w których blocked-uri zaczyna się od chrome-extension://, moz-extension:// lub safari-web-extension://, zanim uruchomią alert.
Jak bezpiecznie wdrożyć CSP
Wdrożenie strict CSP na działającej witrynie zawsze coś zepsuje — gwarantowane. Trzymaj się tej kolejności:
- Przeanalizuj obecne ładowanie — otwórz DevTools → Network → filtruj po domenie. Zbierz wszystkie third-party hosty, które faktycznie są używane. Pomocna może być też lista sposobów na sprawdzenie cookies i trackerów na stronie, żeby nie zapomnieć o domenach ładowanych dopiero po akceptacji consent.
- Wdrożenie w trybie Report-Only na co najmniej 7 dni. Produkcyjny ruch ujawni przypadki brzegowe, których nie widać na dev/staging (stare podstrony, szablony maili otwierane w przeglądarce, warianty A/B testów).
- Raporty skieruj do prawdziwego endpointu — użyj Report URI lub własnego loggera. Posortuj naruszenia według częstotliwości.
- Zaostrzaj dyrektywa po dyrektywie. Najpierw wymuszaj
img-src(niskie ryzyko), potemstyle-src,connect-src, a na końcuscript-src(największe ryzyko przestoju). - Przełącz na enforce mode z tą samą polityką. Równolegle zostaw nagłówek Report-Only do testowania kolejnej, ostrzejszej iteracji.
- Rewiduj co kwartał — Google dokłada nowe domeny (np.
analytics.google.com/g/collect, regionalneregion1/2/3.google-analytics.com). Twoja polityka musi za tym nadążać.
Sprawdź swoje CSP w czasie rzeczywistym z UPER SEO Auditor
Jeśli chcesz ciągły monitoring Content-Security-Policy bez kopiowania nagłówków do zewnętrznych walidatorów, zainstaluj naszą wtyczkę Chrome UPER SEO Auditor. Zakładka Security:
- Rozbija Twoje CSP na poszczególne dyrektywy i pokazuje każde źródło osobno — od razu widać brakujące domeny.
- Wyłapuje naruszenia CSP na żywo podczas przeglądania strony — każdy zablokowany zasób jest pogrupowany według dyrektywy, z flagą
[Google]przy blokadach dotyczących usług Google (GTM, GA4, Maps, Fonts, reCAPTCHA). - Ostrzega, gdy CSP jest w trybie Report-Only — nie wdrożysz przez pomyłkę polityki, która niczego nie egzekwuje.
- Sprawdza 10 nagłówków bezpieczeństwa poza CSP (HSTS, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP, COEP, CORP) z ważonym scorem 0-10.
Darmowa, działa lokalnie w przeglądarce — żadne dane nie opuszczają strony.
Podsumowanie
CSP dla usług Google wymaga balansu między bezpieczeństwem a funkcjonalnością:
- GTM wymaga kompromisów —
'unsafe-inline'jest często konieczny, chyba że zaadoptujesz nonce +'strict-dynamic' - Server-side GTM znacząco upraszcza CSP i eliminuje większość zewnętrznych domen skryptowych
- Nonce + strict-dynamic to aktualna dobra praktyka dla script-src
- Consent Mode v2 wymaga otwartego
connect-srcdo Google przed wyrażeniem zgody - Testuj w Report-Only przez minimum tydzień przed włączeniem wymuszania
- Monitoruj naruszenia stale — domeny Google z czasem się zmieniają
Dobrze skonfigurowana polityka CSP chroni użytkowników przed XSS, nie blokując funkcjonalności strony.
Najczęściej zadawane pytania o CSP dla usług Google
Dlaczego Google Tag Manager wymaga unsafe-inline?
GTM wstrzykuje inline'owe skrypty dla kontenera i tagów Custom HTML. Bez unsafe-inline (lub pasującego nonce) przeglądarka blokuje te wstrzyknięcia i GTM przestaje odpalać tagi. Nowoczesne rozwiązanie to nonce generowany per-request dodany do snippetu GTM oraz dyrektywa strict-dynamic, która pozwala GTM przenieść zaufanie na ładowane przez niego tagi bez wypisywania każdej domeny.
Czy można bezpiecznie używać unsafe-eval z GTM?
unsafe-eval jest potrzebny tylko, gdy Twój kontener GTM ma tagi Custom HTML lub Custom JavaScript wywołujące eval() lub new Function(). Większość tagów GA4 i Ads tego nie robi. Przejrzyj kontener w trybie Preview, usuń stare Custom HTML tam, gdzie to możliwe, a następnie wyrzuć unsafe-eval z polityki — znacząco osłabia on ochronę przed XSS.
Jak naprawić błąd "Refused to load googletagmanager.com"?
Dodaj https://www.googletagmanager.com do script-src. Jeśli dodatkowo ładujesz GA4 przez gtag.js w GTM, dodaj https://www.google-analytics.com do img-src i connect-src, a także https://*.google-analytics.com, jeśli pojawiają się błędy dla endpointów regionalnych.
Czy Google Consent Mode v2 wymaga specjalnych zmian w CSP?
Consent Mode v2 używa tych samych domen Google co GTM i GA4, więc jeśli tamte działają — Consent Mode też. Kluczowa różnica to fakt, że connect-src musi być otwarty do endpointów Google Analytics od pierwszego wejścia — Consent Mode wysyła pingi do Google w stanie "denied" jeszcze przed akceptacją cookies. Dodatkowo dodaj do whitelisty swojego dostawcę CMP (Cookiebot, Iubenda, OneTrust itp.).
Czy server-side GTM eliminuje potrzebę unsafe-inline?
Tak, i to jedna z jego największych zalet. Z server-side tagging na Twojej stronie ładuje się tylko mały first-party loader (często jeden skrypt z Twojej subdomeny), a ciężka logika tagów działa w kontenerze server-side. script-src można zredukować do self plus subdomena tagująca, z nonce — bez unsafe-inline, bez zewnętrznych domen Google w przeglądarce.
Jak testować CSP bez ryzyka dla produkcji?
Użyj nagłówka Content-Security-Policy-Report-Only. Przeglądarka przetwarza politykę i wysyła raporty naruszeń na report-uri, ale niczego nie blokuje. Uruchom tryb Report-Only przez co najmniej 7 dni na realnym ruchu, przejrzyj raporty, dociśnij politykę, a dopiero potem przełącz na wymuszający nagłówek Content-Security-Policy.
Jaka jest różnica między nonce a hash w CSP?
Nonce to losowa wartość generowana per-request i dołączana do każdego zaufanego inline'owego skryptu; przeglądarka uruchamia tylko te skrypty, których nonce pasuje do wartości w nagłówku CSP. Hash to fingerprint SHA-256 zawartości skryptu — przydatny, gdy skrypt się nie zmienia, ale kruchy, bo każda edycja go łamie. Nonce stosuj dla dynamicznej zawartości (GTM, React SSR), hashe dla statycznych snippetów inline.
Dlaczego zapytania do region1.google-analytics.com są blokowane?
GA4 wysyła hity kolekcjonera na regionalne endpointy (region1, region2, region3.google-analytics.com) zależnie od lokalizacji użytkownika. Jeśli dodałeś do whitelisty tylko www.google-analytics.com, ruch regionalny jest blokowany. Użyj wildcardu: https://*.google-analytics.com w connect-src.
Źródła
-
MDN — Content-Security-Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
-
Google — CSP for Google Tag Manager https://developers.google.com/tag-platform/tag-manager/csp
-
Google — CSP Evaluator https://csp-evaluator.withgoogle.com/
-
web.dev — Content Security Policy https://web.dev/articles/csp
-
Google Maps Platform — CSP https://developers.google.com/maps/documentation/javascript/content-security-policy
'%3E%3Cpath d='M0 0v30h60V0z' fill='%23012169'/%3E%3Cpath d='M0 0l60 30m0-30L0 30' stroke='%23fff' stroke-width='6'/%3E%3Cpath d='M0 0l60 30m0-30L0 30' clip-path='url(%23b)' stroke='%23C8102E' stroke-width='4'/%3E%3Cpath d='M30 0v30M0 15h60' stroke='%23fff' stroke-width='10'/%3E%3Cpath d='M30 0v30M0 15h60' stroke='%23C8102E' stroke-width='6'/%3E%3C/g%3E%3C/svg%3E){kind=small}