À partir de v3.3.0.beta1, Discourse implémente une politique de sécurité de contenu (CSP) ‘strict-dynamic’. Cela éliminera le besoin de configuration manuelle de la CSP et améliorera considérablement la compatibilité avec les outils externes tels que les gestionnaires de balises et la publicité.
En tant qu’administrateur de site, vous n’avez rien à faire. Le changement prendra effet automatiquement, et tous les scripts externes que vous utilisez continueront de fonctionner.
Aucune modification n’est requise pour les thèmes. Un petit nombre de plugins [^1] pourrait nécessiter une petite modification pour la compatibilité avec ce changement (par exemple, 1, 2).
[^1] : techniquement : ceux qui introduisent des éléments <script> via register_html_builder ou un modèle erb
Les forums qui avaient précédemment désactivé la CSP pour la compatibilité avec des scripts externes devraient maintenant pouvoir la réactiver sans aucun problème ni effort de configuration.
Pour les détails techniques, consultez ce sujet :
Pour l’instant, il est toujours possible de revenir à l’ancien système en désactivant le paramètre de site « content security policy strict dynamic ». Si vous avez une raison de le faire, veuillez nous en informer !
À partir de v3.3.0.beta3, nous avons rendu le mot-clé ‘strict-dynamic’ une partie obligatoire de notre CSP. Le paramètre de site « content security policy strict dynamic » a été supprimé et le paramètre de site « content security policy script src » a été mis à jour pour ne stocker que des valeurs valides.
Pour les administrateurs, vous devriez pouvoir trouver la valeur précédente du paramètre de site « content security policy script src » dans les journaux d’actions du personnel de votre site (https://<URL_du_site>/admin/logs/staff_action_logs?filters=%7B%22action_name%22%3A%22change_site_setting%22%2C%22action_id%22%3A3%2C%22subject%22%3A%22content_security_policy_script_src%22%7D - Remplacez <URL_du_site> par l’URL de base de votre site).