A partir da v3.3.0.beta1, o Discourse implementa uma Política de Segurança de Conteúdo (CSP) ‘strict-dynamic’. Isso eliminará a necessidade de configuração manual de CSP e melhorará significativamente a compatibilidade com ferramentas externas como gerenciadores de tags e publicidade.
Como administrador do site, você não precisa fazer nada. A alteração entrará em vigor automaticamente e quaisquer scripts externos que você esteja usando continuarão funcionando.
Nenhuma alteração é necessária para temas. Um pequeno número de plugins [1] pode precisar de um pequeno ajuste para compatibilidade com esta alteração (por exemplo, 1, 2).
Fóruns que anteriormente desativaram o CSP para compatibilidade com scripts externos agora devem ser capazes de reativá-lo sem quaisquer problemas ou esforço de configuração.
Para detalhes técnicos, confira este tópico:
Por enquanto, ainda é possível voltar ao sistema antigo desativando a configuração do site ‘content security policy strict dynamic’. Se você tiver algum motivo para fazer isso, por favor nos avise!
A partir da v3.3.0.beta3, tornamos a palavra-chave ‘strict-dynamic’ uma parte obrigatória do nosso CSP. A configuração do site ‘content security policy strict dynamic’ foi removida e a configuração do site ‘content security policy script src’ foi atualizada para armazenar apenas valores válidos.
Para administradores, você deve ser capaz de encontrar o valor anterior da configuração do site ‘content security policy script src’ nos Registros de Ações da Equipe do seu site (https://<url_do_site>/admin/logs/staff_action_logs?filters=%7B%22action_name%22%3A%22change_site_setting%22%2C%22action_id%22%3A3%2C%22subject%22%3A%22content_security_policy_script_src%22%7D - Substitua <url_do_site> pelo URL base do seu site).
tecnicamente: aqueles que introduzem elementos
<script>através deregister_html_builderou um templateerb↩︎