Impossible d'utiliser la balise script dans le plugin de pages de destination en raison de content-security-policy

awesomerobot · Juin 30, 2025, 1:12

Il y a des informations dans ce post qui pourraient vous aider : Mitigate XSS Attacks with Content Security Policy

Discourse:

CSP et intégrations tierces

Lorsque vous utilisez des services tiers tels que Google Tag Manager, Google Analytics ou des services publicitaires, vous devrez peut-être ajuster vos paramètres CSP. Dans la plupart des cas, avec Discourse version 3.3.0.beta1 ou ultérieure, les scripts externes devraient fonctionner sans configuration supplémentaire en raison de l’implémentation CSP « strict-dynamic ».

Si vous rencontrez des problèmes, vous devrez peut-être :

Identifier les sources de script requises en surveillant la console de votre navigateur

Ajouter les sources nécessaires au paramètre content_security_policy_script_src

Pour les intégrations complexes telles que les services publicitaires qui chargent des ressources externes, vous pourriez avoir besoin d’activer le rendu inter-domaines (Exemple de PR de discourse-adplugin qui fait cela).

Meilleures pratiques

Commencez avec le mode CSP Report-Only pour identifier les problèmes potentiels

Renforcez progressivement votre CSP à mesure que vous résolvez les violations légitimes

Examinez régulièrement vos paramètres CSP et ajustez-les au besoin

Soyez prudent lorsque vous ajoutez des directives permissives telles que 'unsafe-eval' ou 'wasm-unsafe-eval'

Maintenez votre instance Discourse à jour pour bénéficier des dernières améliorations CSP

Sujet		Réponses	Vues
"Refused to load the script" when adding adsense Support	3	1435	Mars 10, 2019
GTM Refused to load the script because it violates the Content Security Policy Data & reporting	3	3509	Juin 16, 2021
Mitigate XSS Attacks with Content Security Policy Site Management how-to , content-security-policy	32	24251	Juin 13, 2023
After upgrade the content security policy script src for GTM Data & reporting	4	1857	Avril 13, 2021
How to fix problem with CSP Support	8	6595	Mars 9, 2022

Impossible d'utiliser la balise script dans le plugin de pages de destination en raison de content-security-policy

Sujets connexes