由于内容安全策略的限制，我无法在着陆页插件中让脚本标签正常工作

TheNab · 2025 年6 月 30 日 00:54

由於 CSP 限制，內嵌的 JS 腳本標籤無法加載，我不知道如何修復。

awesomerobot · 2025 年6 月 30 日 13:12

此帖子中的一些信息可能有所帮助：Mitigate XSS Attacks with Content Security Policy

Discourse:

CSP 和第三方集成

在使用 Google Tag Manager、Google Analytics 或广告服务等第三方服务时，您可能需要调整 CSP 设置。在大多数情况下，对于 Discourse 3.3.0.beta1 或更高版本，由于实现了“strict-dynamic”CSP，外部脚本应无需额外配置即可正常工作。

如果遇到问题，您可能需要：

通过监控浏览器控制台来识别所需的脚本来源

将必要的来源添加到 content_security_policy_script_src 设置中

对于加载外部资源的复杂集成（如广告服务），您可能需要启用跨域渲染（discourse-adplugin 的示例 PR 进行了此操作）。

最佳实践

从 CSP Report-Only 模式开始，以识别潜在问题

在解决合法的违规行为时，逐步收紧您的 CSP

定期审查您的 CSP 设置并根据需要进行调整

添加 'unsafe-eval' 或 'wasm-unsafe-eval' 等宽松指令时要小心

保持您的 Discourse 实例更新，以受益于最新的 CSP 改进

TheNab · 2025 年6 月 30 日 17:14

我已经阅读了这些和其他内容，但仍然无法理清如何实际将例外添加到 content_security_policy_script_src。

awesomerobot · 2025 年7 月 1 日 15:46

您的浏览器控制台中是否出现有关脚本的错误？类似这样？

您需要将提供的哈希值（'sha256-xxxxx'）添加到管理员 > 所有站点设置中找到的“内容安全策略脚本源”设置中。

TheNab · 2025 年7 月 1 日 15:57

我在 Firefox 浏览器中遇到的错误是 nonce-s0m3h4sh，而我没有遇到 sha256-s0m3h4sh。但当我刚才在 Chrome 中查看时，它却是 sha256 的那个。

system · 2025 年7 月 31 日 15:58

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

话题		回复	浏览量
"Refused to load the script" when adding adsense Support	3	1435	2019 年3 月 10 日
GTM Refused to load the script because it violates the Content Security Policy Data & reporting	3	3509	2021 年6 月 16 日
Mitigate XSS Attacks with Content Security Policy Site Management how-to , content-security-policy	32	24251	2023 年6 月 13 日
After upgrade the content security policy script src for GTM Data & reporting	4	1857	2021 年4 月 13 日
How to fix problem with CSP Support	8	6595	2022 年3 月 9 日

由于内容安全策略的限制，我无法在着陆页插件中让脚本标签正常工作

相关话题