Начиная с версии v3.3.0.beta1, в Discourse внедрена политика безопасности контента (CSP) со строгим динамическим режимом (strict-dynamic). Это устранит необходимость в ручной настройке CSP и значительно улучшит совместимость с внешними инструментами, такими как менеджеры тегов и рекламные платформы.
Как администратор сайта, вам не нужно предпринимать никаких действий. Изменения вступят в силу автоматически, и все используемые вами внешние скрипты продолжат работать.
Для тем никаких изменений не требуется. Небольшому количеству плагинов [1] может потребоваться небольшая корректировка для обеспечения совместимости с этим изменением (например, 1, 2).
Форумы, которые ранее отключали CSP для совместимости с внешними скриптами, теперь смогут снова включить его без каких-либо проблем или дополнительных настроек.
Технические детали можно найти в этой теме:
На данный момент всё ещё возможно вернуться к старой системе, отключив настройку сайта «content security policy strict dynamic». Если у вас есть причины сделать это, пожалуйста, сообщите нам!
Начиная с версии v3.3.0.beta3, ключевое слово «strict-dynamic» стало обязательной частью нашей CSP. Настройка сайта «content security policy strict dynamic» была удалена, а настройка «content security policy script src» обновлена так, чтобы принимать только допустимые значения.
Администраторы смогут найти предыдущее значение настройки «content security policy script src» в логах действий персонала вашего сайта (https://<site_url>/admin/logs/staff_action_logs?filters=%7B%22action_name%22%3A%22change_site_setting%22%2C%22action_id%22%3A3%2C%22subject%22%3A%22content_security_policy_script_src%22%7D — замените <site_url> на базовый URL вашего сайта).
технически: те, которые добавляют элементы
<script>черезregister_html_builderили шаблонerb. ↩︎