Je pense qu’il serait judicieux d’ajouter un groupe de sources similaires à celles ci-dessus pour Google AdSense, ce qui rendrait le plugin plus facile à configurer pour les utilisateurs non experts.
D’accord ! J’ai récemment constaté que les publicités ne fonctionnaient plus sur un site pour cette raison exacte, et il m’a fallu un certain temps pour identifier le problème.
Est-ce vraiment suffisant ? Il semble qu’il y ait toujours d’autres ressources provenant d’autres domaines qui provoquent davantage de violations de CSP, même avec les entrées google*.com listées. De plus, Google est libre de modifier à tout moment l’origine des ressources publicitaires. Par ailleurs, il serait surprenant qu’un utilisateur installe le plugin et se retrouve soudainement avec toutes ces ressources autorisées (AdSense, Ad Manager, Amazon, CodeFund, Carbon Ads et toute autre ressource incluse dans le plugin) ajoutées à ses paramètres de sécurité sans sa demande.
Pareil pour moi. Il est toujours dangereux (mauvaise pratique) d’activer des paramètres restrictifs par défaut, surtout lors des mises à jour. J’ai mis du temps à comprendre ce qui était cassé.
(Cela casse également les scripts externes de consentement aux cookies, ce qui est super ennuyeux mais constitue une sorte d’exigence légale)
Nous n’allons pas donner par défaut à Google JS les clés de votre communauté, et nous ne pouvons pas ajouter une liste suggérée de sources à inclure dans les paramètres CSP, étant donné que la documentation officielle de Google n’inclut pas toutes les sources nécessaires et peut les modifier à tout moment (et l’a déjà fait ?). Ayant passé cela avec un client la semaine dernière (ajout de 19 sources pour que cela fonctionne), activer CSP tout en utilisant Google Ads sera douloureux et nous ne pouvons pas l’automatiser dans le plugin.
Pareil pour moi. Il est toujours dangereux (mauvaise pratique) d’activer des paramètres restrictifs par défaut, surtout lors des mises à jour. J’ai mis du temps à comprendre ce qui était cassé.