Script tag funktioniert nicht im landing pages plugin aufgrund der content-security-policy

TheNab · 30. Juni 2025 um 00:54

Das Inline-JavaScript-Tag wird wegen CSP nicht geladen und ich weiß nicht, wie ich es beheben kann.

awesomerobot · 30. Juni 2025 um 13:12

Es gibt einige Informationen in diesem Beitrag, die hilfreich sein könnten: Mitigate XSS Attacks with Content Security Policy

Discourse:

CSP und Drittanbieter-Integrationen

Bei der Verwendung von Drittanbieterdiensten wie Google Tag Manager, Google Analytics oder Werbediensten müssen Sie möglicherweise Ihre CSP-Einstellungen anpassen. In den meisten Fällen mit Discourse Version 3.3.0.beta1 oder neuer sollten externe Skripte aufgrund der ‘strict-dynamic’ CSP-Implementierung ohne zusätzliche Konfiguration funktionieren.

Wenn Sie auf Probleme stoßen, müssen Sie möglicherweise:

Identifizieren Sie die erforderlichen Skriptquellen, indem Sie Ihre Browserkonsole überwachen

Fügen Sie die notwendigen Quellen zur Einstellung content_security_policy_script_src hinzu

Für komplexe Integrationen wie Werbedienste, die externe Ressourcen laden, müssen Sie möglicherweise Cross-Domain-Rendering aktivieren (Beispiel-PR von discourse-adplugin, der dies tut).

Best Practices

Beginnen Sie mit dem CSP Report-Only-Modus, um potenzielle Probleme zu identifizieren

Lockern Sie Ihre CSP schrittweise, während Sie legitime Verstöße beheben

Überprüfen Sie regelmäßig Ihre CSP-Einstellungen und passen Sie sie bei Bedarf an

Seien Sie vorsichtig, wenn Sie permissive Direktiven wie 'unsafe-eval' oder 'wasm-unsafe-eval' hinzufügen

Halten Sie Ihre Discourse-Instanz auf dem neuesten Stand, um von den neuesten CSP-Verbesserungen zu profitieren

TheNab · 30. Juni 2025 um 17:14

Ich habe das und andere gelesen, kann aber nicht zusammenfügen, wie ich die Ausnahme zur content_security_policy_script_src tatsächlich hinzufügen kann

awesomerobot · 1. Juli 2025 um 15:46

Siehst du einen Fehler bezüglich des Skripts in deiner Browserkonsole? So etwas wie das hier?

Du möchtest den bereitgestellten Hash ('sha256-xxxxx') zur Einstellung „content security policy script src“ hinzufügen, die du unter Admin > Alle Website-Einstellungen findest.

TheNab · 1. Juli 2025 um 15:57

Der Fehler, den ich erhielt, hatte nonce-s0m3h4sh im Firefox-Browser. Ich erhielt nicht den sha256-s0m3h4sh. Aber als ich gerade in Chrome nachsah, war es der sha256-Wert.

system · 31. Juli 2025 um 15:58

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

Thema		Antworten	Aufrufe
"Refused to load the script" when adding adsense Support	3	1435	10. März 2019
GTM Refused to load the script because it violates the Content Security Policy Data & reporting	3	3506	16. Juni 2021
Mitigate XSS Attacks with Content Security Policy Site Management how-to , content-security-policy	32	24243	13. Juni 2023
After upgrade the content security policy script src for GTM Data & reporting	4	1857	13. April 2021
How to fix problem with CSP Support	8	6592	9. März 2022

Script tag funktioniert nicht im landing pages plugin aufgrund der content-security-policy

Verwandte Themen