Penso che sarebbe ottimo aggiungere un gruppo di origini come quelle sopra per Google AdSense, in modo che il plugin sia più semplice da configurare per gli utenti non esperti.
Concordo! Recentemente gli annunci su un sito hanno smesso di funzionare proprio per questo motivo e ci è voluto un po’ di tempo per individuarne la causa.
È davvero sufficiente? Sembra che ci siano sempre altre risorse provenienti da altri domini che causano ulteriori violazioni di CSP, anche con quelle elencate di google*.com. Inoltre, Google è libera di modificare in qualsiasi momento da dove provengono le risorse pubblicitarie. Sarebbe anche sorprendente se qualcuno installasse il plugin e improvvisamente tutte queste risorse consentite (AdSense, Ad Manager, Amazon, CodeFund, Carbon Ads e qualsiasi altra cosa inclusa nel plugin) venissero aggiunte alle proprie impostazioni di sicurezza senza chiedere il permesso.
Anche per me. È sempre pericoloso (una cattiva pratica) abilitare impostazioni restrittive di default, specialmente durante gli aggiornamenti. Ci è voluto un po’ per capire cosa non funzionava.
(Questo rompe anche gli script esterni per il consenso ai cookie, che sono estremamente fastidiosi ma in un certo senso un requisito legale)
Non daremo di default a Google JS le chiavi per la tua community, e non possiamo aggiungere un elenco suggerito di fonti da includere nelle impostazioni CSP, dato che la documentazione ufficiale di Google non include tutte le fonti necessarie e può modificarle in qualsiasi momento (e l’ha già fatto?). Avendo affrontato questa situazione con un cliente la settimana scorsa (aggiungendo 19 fonti per farla funzionare), l’attivazione di CSP mentre si utilizzano gli annunci Google sarà problematica e non possiamo automatizzarla nel plugin.
Anche per me. È sempre pericoloso (una cattiva pratica) abilitare impostazioni restrittive di default, specialmente durante gli aggiornamenti. Ci è voluto un po’ per capire cosa non funzionava.