Creo que sería excelente incluir un grupo de fuentes como las mencionadas anteriormente para Google AdSense, de modo que la configuración del plugin sea más sencilla para usuarios no avanzados.
Violación de CSP: 'https://partner.googleadservices.com'
Violación de CSP: 'https://tpc.googlesyndication.com'
Violación de CSP: 'https://pagead2.googlesyndication.com'
Violación de CSP: 'https://adservice.google.com'
¿Eso es realmente suficiente? Parece que siempre hay otros recursos provenientes de otros dominios que provocan más violaciones de CSP, incluso con los google*.com listados. Además, Google es libre de cambiar de dónde provienen los recursos publicitarios en cualquier momento. También sería sorprendente que alguien instale el plugin y de repente tenga todos estos recursos permitidos (AdSense, Ad Manager, Amazon, CodeFund, Carbon Ads y cualquier otro incluido en el plugin) añadidos a sus configuraciones de seguridad sin preguntar.
Lo mismo aquí. Siempre es peligroso (mala práctica) habilitar configuraciones restrictivas de forma predeterminada, especialmente para las actualizaciones. Me llevó un tiempo averiguar qué estaba roto.
(Esto también rompe los scripts externos de consentimiento de cookies, que son muy molestos pero, en cierto modo, un requisito legal).
No vamos a darle por defecto a Google JS las llaves de tu comunidad, y no podemos agregar una lista sugerida de fuentes para añadir a la configuración de CSP, ya que la documentación oficial de Google no incluye todas las fuentes necesarias y puede cambiarlas en cualquier momento (¿y ya lo ha hecho?). Después de haber pasado por esto con un cliente la semana pasada (agregando 19 fuentes para que funcionara), habilitar CSP mientras se usan anuncios de Google será complicado y no podemos automatizarlo en el plugin.
Lo mismo aquí. Siempre es peligroso (mala práctica) habilitar configuraciones restrictivas de forma predeterminada, especialmente para las actualizaciones. Me llevó un tiempo averiguar qué estaba roto.