La etiqueta de script js en línea no se está cargando debido a csp y no sé cómo solucionarlo.
Hay información en esta publicación que puede ayudar: Mitigate XSS Attacks with Content Security Policy
Discourse:
CSP e integraciones de terceros
Al utilizar servicios de terceros como Google Tag Manager, Google Analytics o servicios de publicidad, es posible que necesites ajustar la configuración de tu CSP. En la mayoría de los casos con Discourse versión 3.3.0.beta1 o posterior, los scripts externos deberían funcionar sin configuración adicional debido a la implementación de CSP ‘strict-dynamic’.
Si encuentras problemas, es posible que necesites:
Identificar las fuentes de script requeridas monitoreando la consola de tu navegador
Añadir las fuentes necesarias a la configuración content_security_policy_script_src
Para integraciones complejas como servicios de publicidad que cargan recursos externos, es posible que necesites habilitar la renderización entre dominios (PR de ejemplo de discourse-adplugin que hace esto).
Mejores prácticas
Comienza con el modo CSP Report-Only para identificar posibles problemas
Ajusta gradualmente tu CSP a medida que resuelves violaciones legítimas
Revisa regularmente la configuración de tu CSP y ajústala según sea necesario
Ten cuidado al añadir directivas permisivas como 'unsafe-eval' o 'wasm-unsafe-eval'
Mantén tu instancia de Discourse actualizada para beneficiarte de las últimas mejoras de CSP
He leído eso y otros, pero no puedo juntar cómo agregar la excepción a content_security_policy_script_src
¿Ves algún error relacionado con el script en la consola de tu navegador? ¿Algo como esto?
Querrás añadir ese hash proporcionado ('sha256-xxxxx') a la configuración de “content security policy script src” que se encuentra en admin > all site settings.
El error que estaba recibiendo tenía nonce-s0m3h4sh en el navegador Firefox, no estaba recibiendo el sha256-s0m3h4sh. Pero cuando lo acabo de mirar en Chrome, era el sha256
