Acho que seria ótimo adicionar um grupo de fontes como as mencionadas acima para o Google AdSense, facilitando assim a configuração do plugin para usuários não avançados.
Isso realmente é suficiente? Parece que sempre há outros recursos vindos de outros domínios que causam mais violações de CSP, mesmo com os google*.com listados. Além disso, o Google é livre para mudar de onde vêm os recursos de anúncios a qualquer momento. Também seria surpreendente se alguém instalasse o plugin e, de repente, tivesse todos esses recursos permitidos (AdSense, Ad Manager, Amazon, CodeFund, Carbon Ads e qualquer outra coisa incluída no plugin) adicionados às suas configurações de segurança sem pedir permissão.
Aqui também. Sempre é perigoso (uma má prática) ativar configurações restritivas por padrão, especialmente em atualizações. Demorei um pouco para descobrir o que estava quebrado.
(Isso também quebra scripts externos de consentimento de cookies, que são super irritantes, mas são quase um requisito legal)
Não vamos entregar, por padrão, as chaves da sua comunidade ao Google JS. Além disso, não podemos incluir uma lista sugerida de fontes para adicionar às configurações do CSP, já que a documentação oficial do Google não inclui todas as fontes necessárias e pode alterá-las a qualquer momento (e já o fez?). Após lidar com isso com um cliente na semana passada (adicionando 19 fontes para fazer funcionar), ativar o CSP enquanto usa anúncios do Google será doloroso, e não conseguimos automatizar isso no plugin.
Aqui também. Sempre é perigoso (uma má prática) ativar configurações restritivas por padrão, especialmente em atualizações. Demorei um pouco para descobrir o que estava quebrado.