Desde v3.3.0.beta1, Discourse implementa una Política de Seguridad de Contenido (CSP) ‘strict-dynamic’. Esto eliminará la necesidad de configuración manual de CSP y mejorará en gran medida la compatibilidad con herramientas externas como gestores de etiquetas y publicidad.
Como administrador del sitio, no necesitas hacer nada. El cambio surtirá efecto automáticamente y los scripts externos que estés utilizando seguirán funcionando.
No se requieren cambios para los temas. Un pequeño número de plugins [1] pueden necesitar un pequeño ajuste para ser compatibles con este cambio (por ejemplo, 1, 2).
Los foros que anteriormente deshabilitaron CSP por compatibilidad con scripts externos ahora deberían poder volver a habilitarlo sin problemas ni esfuerzo de configuración.
Para los detalles técnicos, consulta este tema:
Por ahora, todavía es posible volver al sistema anterior deshabilitando la configuración del sitio ‘content security policy strict dynamic’. Si tienes alguna razón para hacerlo, ¡háznoslo saber!
Desde v3.3.0.beta3, hemos hecho que la palabra clave ‘strict-dynamic’ sea una parte obligatoria de nuestra CSP. Se ha eliminado la configuración del sitio ‘content security policy strict dynamic’ y la configuración del sitio ‘content security policy script src’ se ha actualizado para almacenar solo valores válidos.
Para los administradores, deberían poder encontrar el valor anterior de la configuración del sitio ‘content security policy script src’ en los Registros de Acciones del Personal de su sitio (https://<url_del_sitio>/admin/logs/staff_action_logs?filters=%7B%22action_name%22%3A%22change_site_setting%22%2C%22action_id%22%3A3%2C%22subject%22%3A%22content_security_policy_script_src%22%7D - Reemplace <url_del_sitio> con la URL base de su sitio).
técnicamente: aquellos que introducen elementos
<script>a través deregister_html_buildero una plantillaerb↩︎