内容安全策略和mod_pagespeed evals

Question

我正在尝试为我的网站设置CPS规则。此外，我尝试阻止使用脚本'unsafe-eval'，但我发现mod_pagespeeds使用它很多。这里是一些由网页上的mod_pagespeeds生成的代码：

<script>eval(mod_pagespeed_N_OeYaMDDO);</script> <script>eval(mod_pagespeed_vvygFO_kog);</script> 

如何解决此问题？

还有一些插件安装在网站上（基于WordPress）喜欢添加内联脚本。有没有办法解决这个问题呢？

还有最后一个问题。对于样式使用'unsafe-inline'的想法有多糟糕？谷歌给出了使用内联样式进行快速页面加载的建议，但CPS说这是不好的做法。谁相信？

Answer 1

从文档：

由于1.13.35.1的PageSpeed的是能够根据 在响应头指定的任何内容安全策略，以适应其优化。在此版本中，您需要选择加入此功能，未来版本可能会默认打开它。

要订阅进行以下配置：ModPagespeedHonorCsp on

我启用了上面我的服务器上，并取出不安全-EVAL作为允许CSP脚本源。然而，mod_pagespeed似乎忽略了这一点，并仍然使用evals。 Chrome开发工具控制台显示了不少错误。我在这里记录了这个问题：

https://groups.google.com/forum/#!topic/mod-pagespeed-discuss/65Emhm1O1xs