CSP-Quellen zum Plugin hinzufügen

Unterstützung
1

Laut Mitigate XSS Attacks with Content Security Policy ist es möglich, eine Reihe von Quellen zu den CSP-Richtlinien hinzuzufügen.

Ich denke, es wäre eine großartige Sache, eine Gruppe von Quellen wie die oben genannten für Google AdSense hinzuzufügen, damit das Plugin für nicht-technische Benutzer einfacher einzurichten ist.

CSP-Verletzung: 'https://partner.googleadservices.com'
CSP-Verletzung: 'https://tpc.googlesyndication.com'
CSP-Verletzung: 'https://pagead2.googlesyndication.com'
CSP-Verletzung: 'https://adservice.google.com'
2

Zustimmung! Bei einer meiner Seiten haben die Anzeigen aus genau diesem Grund plötzlich nicht mehr funktioniert, und es hat eine Weile gedauert, bis ich die Ursache gefunden habe.

3

Ist das wirklich ausreichend? Es scheint, als gäbe es immer weitere Assets von anderen Domains, die weitere CSP-Verletzungen auslösen, selbst wenn die google*.com-Einträge bereits aufgelistet sind. Zudem ist Google frei, jederzeit zu ändern, von wo die Werbe-Assets bezogen werden. Außerdem wäre es überraschend, wenn jemand das Plugin installiert und plötzlich all diese erlaubten Ressourcen (AdSense, Ad Manager, Amazon, Codefund, Carbon Ads und alles Weitere, das im Plugin enthalten ist) ohne Nachfrage in ihre Sicherheitseinstellungen aufgenommen werden.

4

Es ist nicht so, aber ein guter Anfang. Google sendet auch von lokalisierten Domains wie google.com.mx oder google.co.ve.

Die andere Sache wäre, den CSP-Hinweis in die Plugin-Dokumentation aufzunehmen und jedem zu überlassen, wie er damit umgeht.

5

Das wurde letzten September hinzugefügt: Discourse Advertising Plugin (Ads)

6

:raised_hand: Bei mir auch. Es ist immer riskant (schlechte Praxis), restriktive Einstellungen standardmäßig zu aktivieren, insbesondere bei Updates. Es hat eine Weile gedauert, herauszufinden, was nicht funktioniert.

(Dies unterbricht auch externe Cookie-Einwilligungsskripte, die extrem nervig sind, aber gewissermaßen eine gesetzliche Anforderung darstellen)

7

Wir geben Google JS standardmäßig nicht den Schlüssel zu Ihrer Community. Zudem können wir keine empfohlene Liste von Quellen für die CSP-Einstellungen bereitstellen, da das offizielle Google-Dokument nicht alle erforderlichen Quellen enthält und diese jederzeit ändern kann (und dies bereits getan hat?). Nachdem wir dies letzte Woche mit einem Kunden durchgegangen sind (19 Quellen mussten hinzugefügt werden, damit es funktioniert), wird die Aktivierung von CSP bei gleichzeitiger Nutzung von Google Ads schmerzhaft sein, und wir können dies im Plugin nicht automatisieren.