Mitigate XSS Attacks with Content Security Policy によると、CSP ポリシーにソースのセットを追加することが可能です。
上記のような Google AdSense 用のソースグループを追加すれば、上級者以外のユーザーでもプラグインの設定が容易になると考えます。
CSP Violation: 'https://partner.googleadservices.com'
CSP Violation: 'https://tpc.googlesyndication.com'
CSP Violation: 'https://pagead2.googlesyndication.com'
CSP Violation: 'https://adservice.google.com'
同意します!私も最近、まさにその理由で広告が停止するトラブルに遭遇し、原因を特定するのに時間がかかりました。
それは実際に十分でしょうか?google*.com をリストに入れても、他のドメインから来る他のアセットがさらに CSP 違反を引き起こしているように思えます。また、Google は広告アセットの提供元をいつでも変更する自由があります。さらに、プラグインをインストールした瞬間に、アドセンス、アドマネージャー、アマゾン、コードファウンド、カーボン広告など、プラグインに含まれるあらゆるリソースが、ユーザーの許可なくセキュリティ設定に追加されるのは驚くべきことです。
それはそうではありませんが、良い第一歩です。Google は google.com.mx や google.co.ve などのローカライズされたドメインからも送信しています。
もう一つのことは、CSP の問題についてプラグインのドキュメントに追加し、各自がどのように対処するかを任せることです。
それは昨年9月に追加されました: Discourse Advertising Plugin (Ads)
私も同じです。特にアップグレードの場合、デフォルトで制限設定を有効にするのは危険(悪い慣行)です。何が壊れているのかを特定するのに時間がかかりました。
(これにより、外部のクッキー同意スクリプトも機能しなくなります。非常に煩わしいですが、ある種の法的要件でもあります)
デフォルトでは、Google JS にコミュニティの鍵をお渡しすることはなく、公式の Google ドキュメントに必要なソースをすべて含んでおらず、いつでも変更される可能性がある(実際、すでにそうしています)ため、CSP 設定に追加するソースの推奨リストを追加することもできません。先週、ある顧客とこの問題に取り組んだ際(動作させるために 19 のソースを追加しました)、Google 広告を使用しながら CSP を有効にすることは非常に困難であり、プラグイン内で自動化することはできません。