Discourse a été mis à jour le 2021-04-08.
Ensuite, nous avons remarqué que la politique de sécurité du contenu (content_security_policy) pourrait présenter un problème.
GTM pour le script src de la politique de sécurité du contenu
F12 pour la console :
Cela s’est produit après la mise à jour vers la dernière version de Discourse.
Pouvez-vous nous montrer l’en-tête CSP complet tel qu’il a été envoyé ?
Merci beaucoup pour votre réponse rapide.
J’ai essayé de charger l’en-tête depuis Firefox, je ne suis pas sûr d’avoir fait la bonne manipulation.
Veuillez consulter la capture d’écran ci-jointe.
J’ai changé pour Chrome.
Ici, vous devriez peut-être pouvoir obtenir plus de détails sur la requête.
Des choses ont dû changer depuis le message original, car le comportement est maintenant conforme à ce qui est attendu :
○ → curl -I https://www.ossez.com
HTTP/2 200
…
content-security-policy: base-uri 'none'; object-src 'none'; script-src https://www.ossez.com/logs/ https://www.ossez.com/sidekiq/ https://www.ossez.com/mini-profiler-resources/ https://www.ossez.com/assets/ https://www.ossez.com/brotli_asset/ https://www.ossez.com/extra-locales/ https://www.ossez.com/highlight-js/ https://www.ossez.com/javascripts/ https://www.ossez.com/plugins/ https://www.ossez.com/theme-javascripts/ https://www.ossez.com/svg-sprite/ https://www.googletagmanager.com/gtm.js 'nonce-38d2a45e5e933b869e14465772b2c0de' https: https://tagmanager.google.com https://www.googletagmanager.com 'unsafe-inline' https://analytics.ossez.com/matomo.js https://www.ossez.com/cdn-cgi/apps/head/qk5vBDFy7qBIoPy3q8a6LUoKei8.js https://www.googletagmanager.com/gtm.js; worker-src 'self' https://www.ossez.com/assets/ https://www.ossez.com/brotli_asset/ https://www.ossez.com/javascripts/ https://www.ossez.com/plugins/
‘unsafe-inline’ est maintenant correctement mis entre guillemets, mais il est ignoré par Chrome :
Exécution du script en ligne refusée car elle viole la directive suivante de la politique de sécurité du contenu (CSP) : […] Notez que ‘unsafe-inline’ est ignoré si une valeur de hachage ou de nonce est présente dans la liste des sources.
et par Firefox :
Politique de sécurité du contenu : Ignorance de « ‘unsafe-inline’ » dans script-src ou style-src : nonce-source ou hash-source spécifié
car vous avez spécifié une valeur de nonce dans la liste CSP : 'nonce-38d2a45e5e933b869e14465772b2c0de'
Je vois que vous êtes derrière Cloudflare ; veuillez noter que vous devez désactiver certaines fonctionnalités de Cloudflare car, par défaut, elles peuvent perturber Discourse.
Merci beaucoup.