كثيرًا ما نرى مواضيع دعم من أشخاص يحاولون إضافة مراجع جافا سكريبت خارجية إلى قوالبهم. افتراضيًا، ستقوم سياسة أمان المحتوى بحظر ذلك، ويجب على المدير إضافة السكربت يدويًا إلى إعدادات موقع CSP (أو إعدادات/معدّلات القالب).
ومع ذلك، قدم @Johani اقتراحًا ممتازًا حول كيفية تحسين ذلك.
بدلًا من طلب نسخ ولصق العناصر من قبل مطوري القوالب عبر واجهة إدارة الموقع، يمكننا أتمتة هذه العملية. يمكننا تحليل جميع عناصر HTML في القالب، واستخراج مصدر أي سكربتات خارجية، وإضافتها إلى سياسة أمان المحتوى.
بعد كل شيء، الحواسيب أفضل بكثير من البشر في عمليات النسخ واللصق المتكررة!
في بيئات الإنتاج، أرى أيضًا مصادر تُضاف بالصيغة https://CDN_SERVER/theme-javascripts/31657759d037d8c06397e9965a1113169100846e.js... وهو أمر مكرر، لأن السياسة تسمح بالفعل بمصادر https://CDN_SERVER/theme-javascripts. هل من الممكن حصر الإضافة التلقائية على مصادر السكريبت الخارجية فقط؟
شكرًا لك @pmusaraj، لقد أضفت بعض التحققات الإضافية للتأكد من عدم تقديم عناوين URL غير صالحة في CSP، كما تأكدت من استبعاد عناوين URL الخاصة بـ theme-javascript:
