背景与价值像素追踪常通过1x1透明图片上报。统一白名单与校验可降低隐私风险。统一规范CSP白名单:限制图片来源到受控域。尺寸与透明:拒绝1x1透明像素加载(前端检测)。核心实现CSP头与前端校验type Res = { setHeader: (k: string, v: string) => void } function setImgCsp(res: Res, endpoints: string[]) { res.setHeader('Content-Security-Policy', `img-src 'self' ${endpoints.join(' ')}`) } function isTransparentPixel(img: HTMLImageElement): boolean { try { const c = document.createElement('canvas'); c.width = img.naturalWidth; c.height = img.naturalHeight; const ctx = c.getContext('2d'); if (!ctx) return false; ctx.drawImage(img, 0, 0); const d = ctx.getImageData(0, 0, img.naturalWidth, img.naturalHeight).data; return img.naturalWidth === 1 && img.naturalHeight === 1 && d[3] === 0 } catch { return false } } function blockIfPixel(img: HTMLImageElement) { if (isTransparentPixel(img)) img.src = '' } 落地建议图片来源统一白名单;对疑似像素追踪进行尺寸与透明检测并拒绝加载。验证清单是否下发img-src白名单;1x1透明像素是否被拒绝。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复