No consigo que el script tag funcione en el plugin de landing pages debido a content-security-policy

awesomerobot · 30 Junio, 2025 13:12

Hay información en esta publicación que puede ayudar: Mitigate XSS Attacks with Content Security Policy

Discourse:

CSP e integraciones de terceros

Al utilizar servicios de terceros como Google Tag Manager, Google Analytics o servicios de publicidad, es posible que necesites ajustar la configuración de tu CSP. En la mayoría de los casos con Discourse versión 3.3.0.beta1 o posterior, los scripts externos deberían funcionar sin configuración adicional debido a la implementación de CSP ‘strict-dynamic’.

Si encuentras problemas, es posible que necesites:

Identificar las fuentes de script requeridas monitoreando la consola de tu navegador

Añadir las fuentes necesarias a la configuración content_security_policy_script_src

Para integraciones complejas como servicios de publicidad que cargan recursos externos, es posible que necesites habilitar la renderización entre dominios (PR de ejemplo de discourse-adplugin que hace esto).

Mejores prácticas

Comienza con el modo CSP Report-Only para identificar posibles problemas

Ajusta gradualmente tu CSP a medida que resuelves violaciones legítimas

Revisa regularmente la configuración de tu CSP y ajústala según sea necesario

Ten cuidado al añadir directivas permisivas como 'unsafe-eval' o 'wasm-unsafe-eval'

Mantén tu instancia de Discourse actualizada para beneficiarte de las últimas mejoras de CSP

Tema		Respuestas	Vistas
"Refused to load the script" when adding adsense Support	3	1435	10 Marzo 2019
GTM Refused to load the script because it violates the Content Security Policy Data & reporting	3	3509	16 Junio 2021
Mitigate XSS Attacks with Content Security Policy Site Management how-to , content-security-policy	32	24251	13 Junio 2023
After upgrade the content security policy script src for GTM Data & reporting	4	1857	13 Abril 2021
How to fix problem with CSP Support	8	6595	9 Marzo 2022

No consigo que el script tag funcione en el plugin de landing pages debido a content-security-policy

Temas relacionados