Tras la actualización, el script src de la política de seguridad de contenido para GTM

Comunidad Datos e informes
1

Se actualizó Discourse el 2021-04-08.

Luego notamos que la directiva content_security_policy podría tener algún problema.

GTM para el script src de la directiva de seguridad de contenido

2021-04-10_11-25-49
2021-04-10_11-25-491288×1088 51.2 KB

F12 para la consola:

2021-04-10_11-26-52
2021-04-10_11-26-522118×1215 170 KB

Esto ocurrió al actualizar a la versión más reciente de Discourse.

1 me gusta
2

¿Puedes mostrarnos la cabecera CSP completa tal como se envía?

1 me gusta
3

@supermathie

Muchas gracias por tu rápida respuesta.

Intenté cargar el encabezado desde Firefox; no estoy seguro de si lo hice correctamente.

Por favor, consulta el adjunto de la pantalla.

2021-04-10_13-15-48
2021-04-10_13-15-482560×1400 255 KB

Cambié a Chrome.

Aquí, tal vez puedas obtener más detalles sobre la solicitud.

2021-04-10_13-32-02
2021-04-10_13-32-022560×1227 330 KB

4

Las cosas deben haber cambiado desde el post original, ya que ahora se comporta como debería:

○ → curl -I https://www.ossez.com
HTTP/2 200 
…
content-security-policy: base-uri 'none'; object-src 'none'; script-src https://www.ossez.com/logs/ https://www.ossez.com/sidekiq/ https://www.ossez.com/mini-profiler-resources/ https://www.ossez.com/assets/ https://www.ossez.com/brotli_asset/ https://www.ossez.com/extra-locales/ https://www.ossez.com/highlight-js/ https://www.ossez.com/javascripts/ https://www.ossez.com/plugins/ https://www.ossez.com/theme-javascripts/ https://www.ossez.com/svg-sprite/ https://www.googletagmanager.com/gtm.js 'nonce-38d2a45e5e933b869e14465772b2c0de' https: https://tagmanager.google.com https://www.googletagmanager.com 'unsafe-inline' https://analytics.ossez.com/matomo.js https://www.ossez.com/cdn-cgi/apps/head/qk5vBDFy7qBIoPy3q8a6LUoKei8.js https://www.googletagmanager.com/gtm.js; worker-src 'self' https://www.ossez.com/assets/ https://www.ossez.com/brotli_asset/ https://www.ossez.com/javascripts/ https://www.ossez.com/plugins/

‘unsafe-inline’ ahora está correctamente entre comillas, pero Chrome lo está ignorando:

Se ha rechazado la ejecución de un script en línea porque viola la siguiente directiva de Política de Seguridad de Contenidos: […] Ten en cuenta que ‘unsafe-inline’ se ignora si hay presente un valor hash o nonce en la lista de origen.

y Firefox:

Política de Seguridad de Contenidos: Ignorando «‘unsafe-inline’» dentro de script-src o style-src: se especificó un origen nonce o un origen hash

ya que has especificado un valor nonce en la lista de CSP: 'nonce-38d2a45e5e933b869e14465772b2c0de'.

Veo que estás detrás de Cloudflare; ten en cuenta que debes desactivar varias funciones de Cloudflare, ya que, de forma predeterminada, romperán Discourse.

4 Me gusta
5

¡Muchas gracias!

1 me gusta