وفقًا لـ https://meta.discourse.org/t/mitigate-xss-attacks-with-content-security-policy/104243، من الممكن إضافة مجموعة من المصادر إلى سياسات CSP.
أعتقد أنه سيكون من الرائع إضافة مجموعة من المصادر مثل المذكورة أعلاه لـ Google AdSense، مما يسهل إعداد الإضافة للمستخدمين غير المتقدمين.
CSP Violation: 'https://partner.googleadservices.com'
CSP Violation: 'https://tpc.googlesyndication.com'
CSP Violation: 'https://pagead2.googlesyndication.com'
CSP Violation: 'https://adservice.google.com'
موافق! توقفت الإعلانات عن العمل مؤخرًا على موقع ما لنفس السبب، واستغرق مني بعض الوقت لتحديد السبب.
هل هذا كافٍ حقًا؟ يبدو أنه دائمًا ما تكون هناك أصول أخرى قادمة من نطاقات أخرى تسبب انتهاكات CSP إضافية حتى مع ذكر نطاقات google*.com. كما أن جوجل حرة في تغيير مصدر أصول الإعلانات في أي وقت. أيضًا، سيكون من المفاجئ أن يقوم شخص ما بتثبيت الإضافة ويحصل فجأة على جميع هذه الموارد المسموح بها (إعلانات أدسنس، مدير الإعلانات، أمازون، كودفاند، كربون أدز، وأي شيء آخر مضمن في الإضافة) مُضافًا إلى إعدادات الأمان الخاصة به دون استئذانه.
ليس كذلك، لكنه بداية جيدة، حيث ترسل جوجل أيضًا من نطاقات محلية مثل google.com.mx أو google.co.ve.
الأمر الآخر هو إضافة إرشادات سياسة أمن المحتوى (CSP) إلى توثيق الإضافة، والسماح للجميع بكيفية التعامل معها.
تمت إضافته في سبتمبر الماضي: Discourse Advertising Plugin (Ads)
أنا أيضًا. من الخطير دائمًا (ممارسة سيئة) تمكين الإعدادات المقيدة افتراضيًا، خاصةً عند الترقية. استغرق الأمر بعض الوقت لمعرفة ما الذي تعطل.
(هذا أيضًا يكسر سكريبات الموافقة على ملفات تعريف الارتباط الخارجية، وهي مزعجة للغاية ولكنها نوعًا ما مطلب قانوني)
لن نعطي Google JS مفاتيح مجتمعك افتراضيًا، ولا يمكننا إضافة قائمة مقترحة بالمصادر لإضافتها إلى إعدادات CSP، نظرًا لأن الوثيقة الرسمية من Google لا تتضمن جميع المصادر الضرورية ويمكنها تغييرها في أي وقت (وقد فعلت ذلك بالفعل؟). وبعد المرور بهذه التجربة مع عميل الأسبوع الماضي (إضافة 19 مصدرًا لجعلها تعمل)، فإن تمكين CSP أثناء استخدام إعلانات Google سيكون أمرًا مرهقًا، ولا يمكننا أتمتته في البرنامج المساعد.