Não consigo fazer a tag de script funcionar no plugin de landing pages devido à content-security-policy

awesomerobot · Junho 30, 2025, 1:12pm

Há algumas informações neste post que podem ajudar: Mitigate XSS Attacks with Content Security Policy

Discourse:

CSP e integrações de terceiros

Ao usar serviços de terceiros como Google Tag Manager, Google Analytics ou serviços de publicidade, pode ser necessário ajustar suas configurações de CSP. Na maioria dos casos com o Discourse versão 3.3.0.beta1 ou posterior, scripts externos devem funcionar sem configuração adicional devido à implementação de CSP ‘strict-dynamic’.

Se você encontrar problemas, pode ser necessário:

Identificar as fontes de script necessárias monitorando o console do seu navegador

Adicionar as fontes necessárias à configuração content_security_policy_script_src

Para integrações complexas como serviços de anúncios que carregam recursos externos, pode ser necessário habilitar a renderização entre domínios (Exemplo de PR do discourse-adplugin que faz isso).

Melhores práticas

Comece com o modo CSP Report-Only para identificar problemas potenciais

Aumente gradualmente seu CSP à medida que resolve violações legítimas

Revise regularmente suas configurações de CSP e ajuste conforme necessário

Tenha cuidado ao adicionar diretivas permissivas como 'unsafe-eval' ou 'wasm-unsafe-eval'

Mantenha sua instância do Discourse atualizada para se beneficiar das melhorias mais recentes de CSP

Tópico		Respostas	Visualizações
"Refused to load the script" when adding adsense Support	3	1435	10 de Março de 2019
GTM Refused to load the script because it violates the Content Security Policy Data & reporting	3	3516	16 de Junho de 2021
Mitigate XSS Attacks with Content Security Policy Site Management how-to , content-security-policy	32	24289	13 de Junho de 2023
After upgrade the content security policy script src for GTM Data & reporting	4	1858	13 de Abril de 2021
How to fix problem with CSP Support	8	6599	9 de Março de 2022

Não consigo fazer a tag de script funcionar no plugin de landing pages devido à content-security-policy

Tópicos relacionados