Após atualização o script src da política de segurança de conteúdo para GTM

Comunidade Dados e relatórios
1

O Discourse foi atualizado em 2021-04-08.

Em seguida, notamos que o content_security_policy pode ter algum problema.

GTM para script src de política de segurança de conteúdo

2021-04-10_11-25-49
2021-04-10_11-25-491288×1088 51.2 KB

F12 para o console:

2021-04-10_11-26-52
2021-04-10_11-26-522118×1215 170 KB

Isso ocorreu após a atualização para a versão mais recente do Discourse.

1 curtida
2

Você pode nos mostrar o cabeçalho CSP completo como foi enviado?

1 curtida
3

@supermathie

Muito obrigado pela sua rápida resposta.

Tentei carregar o cabeçalho no Firefox, mas não tenho certeza se fiz algo corretamente.

Por favor, veja o anexo da tela.

2021-04-10_13-15-48
2021-04-10_13-15-482560×1400 255 KB

Mudei para o Chrome.

Aqui, talvez você possa obter mais detalhes sobre a solicitação.

2021-04-10_13-32-02
2021-04-10_13-32-022560×1227 330 KB

4

As coisas devem ter mudado desde a postagem original, pois agora o sistema está se comportando como deveria:

○ → curl -I https://www.ossez.com
HTTP/2 200 
…
content-security-policy: base-uri 'none'; object-src 'none'; script-src https://www.ossez.com/logs/ https://www.ossez.com/sidekiq/ https://www.ossez.com/mini-profiler-resources/ https://www.ossez.com/assets/ https://www.ossez.com/brotli_asset/ https://www.ossez.com/extra-locales/ https://www.ossez.com/highlight-js/ https://www.ossez.com/javascripts/ https://www.ossez.com/plugins/ https://www.ossez.com/theme-javascripts/ https://www.ossez.com/svg-sprite/ https://www.googletagmanager.com/gtm.js 'nonce-38d2a45e5e933b869e14465772b2c0de' https: https://tagmanager.google.com https://www.googletagmanager.com 'unsafe-inline' https://analytics.ossez.com/matomo.js https://www.ossez.com/cdn-cgi/apps/head/qk5vBDFy7qBIoPy3q8a6LUoKei8.js https://www.googletagmanager.com/gtm.js; worker-src 'self' https://www.ossez.com/assets/ https://www.ossez.com/brotli_asset/ https://www.ossez.com/javascripts/ https://www.ossez.com/plugins/

‘unsafe-inline’ agora está corretamente entre aspas, mas está sendo ignorado pelo Chrome:

Execução de script inline recusada por violar a seguinte diretiva de Política de Segurança de Conteúdo: […] Observe que ‘unsafe-inline’ é ignorado se um valor de hash ou nonce estiver presente na lista de origem.

e pelo Firefox:

Política de Segurança de Conteúdo: Ignorando “‘unsafe-inline’” dentro de script-src ou style-src: nonce-source ou hash-source especificado

já que você especificou um valor de nonce na lista da CSP: 'nonce-38d2a45e5e933b869e14465772b2c0de'

Vejo que você está atrás do Cloudflare; observe que você precisa desativar vários recursos do Cloudflare, pois, por padrão, eles quebrarão o Discourse.

4 curtidas
5

Muito obrigado.

1 curtida