Durante un workshop in occasione dell’Inbound Strategies con docente Andrea Pernici mi sono imbattuto – sì, l’ho già segnalato – nel Content Security Policy o CSP. In breve, secondo il blog di html.it, si tratta di:
una tecnologia pensata per combattere gli attacchi “cross-site scripting” (XSS).
A. Pernici ha erudito i partecipanti del workshop su un metodo efficace per raccogliere informazioni su e/o bypassare eventuali errori di cosiddetto mixed-content http-https. Frequente nei casi di migrazione di protocollo dal primo al secondo. Così come indicato dalle più autorevoli guide in merito, per esempio quella dei developers di Google, il metodo suggerito è stato quello di usare un meta tag. Il seguente meta tag, per esempio, forza il caricamento delle risorse in http come fossero in https (perché realmente disponibili anche tramite questo protocollo), rendendo la navigazione “sicura”:
[sourcecode language=”plain”]
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
[/sourcecode]
Così mi sono chiesto: perché non usare tale metodo e implementarlo tramite Google Tag Manager?
Ebbene sì, si può fare. 🙂 Basta aggiungere un tag HTML personalizzato e, tramite script, creare il meta tag corretto!
[code lang=”js”]
<script> var meta = document.createElement(‘meta’);
meta.httpEquiv = ‘Content-Security-Policy’;
meta.content = ‘upgrade-insecure-requests’;
jQuery(‘head’).append(meta); </script>
[/code]
Il motore javascript del browser, se non erro, esegue il meta tag prima del caricamento della pagina e quindi eventuali contenuti in mixed-content risulteranno caricati in https salvaguardando la navigazione “sicura”.
Magie di GTM. 😉