Ab v3.3.0.beta1 implementiert Discourse eine ‘strict-dynamic’ Content Security Policy (CSP). Dies eliminiert die Notwendigkeit einer manuellen CSP-Konfiguration und verbessert die Kompatibilität mit externen Tools wie Tag-Managern und Werbung erheblich.
Als Site-Administrator müssen Sie nichts unternehmen. Die Änderung wird automatisch wirksam, und alle von Ihnen verwendeten externen Skripte funktionieren weiterhin.
Für Themes sind keine Änderungen erforderlich. Eine kleine Anzahl von Plugins [1] benötigt möglicherweise eine kleine Anpassung zur Kompatibilität mit dieser Änderung (z. B. 1, 2).
Foren, die zuvor die CSP aus Kompatibilitätsgründen mit externen Skripten deaktiviert hatten, können diese nun ohne Probleme oder Konfigurationsaufwand wieder aktivieren.
Für technische Details siehe diesen Thread:
Vorerst ist es noch möglich, zum alten System zurückzukehren, indem die Website-Einstellung „content security policy strict dynamic“ deaktiviert wird. Wenn Sie dafür einen Grund haben, lassen Sie es uns bitte wissen!
Ab v3.3.0.beta3 haben wir das Schlüsselwort ‘strict-dynamic’ zu einem zwingenden Bestandteil unserer CSP gemacht. Die Website-Einstellung „content security policy strict dynamic“ wurde entfernt und die Website-Einstellung „content security policy script src“ wurde aktualisiert, um nur gültige Werte zu speichern.
Für Administratoren sollten Sie den vorherigen Wert der Website-Einstellung „content security policy script src“ in den Staff Action Logs Ihrer Website finden (https://\u003csite_url\u003e/admin/logs/staff_action_logs?filters=%7B%22action_name%22%3A%22change_site_setting%22%2C%22action_id%22%3A3%2C%22subject%22%3A%22content_security_policy_script_src%22%7D - Ersetzen Sie \u003csite_url\u003e durch die Basis-URL Ihrer Website).
technisch gesehen: solche, die
\u003cscript\u003e-Elemente überregister_html_builderoder eineerb-Vorlage einführen ↩︎