Script tag funktioniert nicht im landing pages plugin aufgrund der content-security-policy

awesomerobot · 30. Juni 2025 um 13:12

Es gibt einige Informationen in diesem Beitrag, die hilfreich sein könnten: Mitigate XSS Attacks with Content Security Policy

Discourse:

CSP und Drittanbieter-Integrationen

Bei der Verwendung von Drittanbieterdiensten wie Google Tag Manager, Google Analytics oder Werbediensten müssen Sie möglicherweise Ihre CSP-Einstellungen anpassen. In den meisten Fällen mit Discourse Version 3.3.0.beta1 oder neuer sollten externe Skripte aufgrund der ‘strict-dynamic’ CSP-Implementierung ohne zusätzliche Konfiguration funktionieren.

Wenn Sie auf Probleme stoßen, müssen Sie möglicherweise:

Identifizieren Sie die erforderlichen Skriptquellen, indem Sie Ihre Browserkonsole überwachen

Fügen Sie die notwendigen Quellen zur Einstellung content_security_policy_script_src hinzu

Für komplexe Integrationen wie Werbedienste, die externe Ressourcen laden, müssen Sie möglicherweise Cross-Domain-Rendering aktivieren (Beispiel-PR von discourse-adplugin, der dies tut).

Best Practices

Beginnen Sie mit dem CSP Report-Only-Modus, um potenzielle Probleme zu identifizieren

Lockern Sie Ihre CSP schrittweise, während Sie legitime Verstöße beheben

Überprüfen Sie regelmäßig Ihre CSP-Einstellungen und passen Sie sie bei Bedarf an

Seien Sie vorsichtig, wenn Sie permissive Direktiven wie 'unsafe-eval' oder 'wasm-unsafe-eval' hinzufügen

Halten Sie Ihre Discourse-Instanz auf dem neuesten Stand, um von den neuesten CSP-Verbesserungen zu profitieren

Thema		Antworten	Aufrufe
"Refused to load the script" when adding adsense Support	3	1435	10. März 2019
GTM Refused to load the script because it violates the Content Security Policy Data & reporting	3	3509	16. Juni 2021
Mitigate XSS Attacks with Content Security Policy Site Management how-to , content-security-policy	32	24251	13. Juni 2023
After upgrade the content security policy script src for GTM Data & reporting	4	1857	13. April 2021
How to fix problem with CSP Support	8	6595	9. März 2022

Script tag funktioniert nicht im landing pages plugin aufgrund der content-security-policy

Verwandte Themen