Die Standard-CSP verwendet bestimmte Einstellungen nicht, die gesetzt werden sollten – default-src sollte auf “self”, die URL und die CDNs (falls konfiguriert) gesetzt sein. Dies ist für Script-Teile implementiert, aber wenn default-src nicht gesetzt ist, während andere CSP-Elemente gesetzt sind, kann es in einigen Fällen zu Fehlern bei der Verbindung mit CDNs usw. kommen, was auf die Unübersichtlichkeit zurückzuführen ist.
Dies wurde beim Konfigurieren auf einer Testinstanz und beim Debuggen einer Discourse-Instanz entdeckt, die nun auf einem MinIO-Objektspeichersystem und einem CDN-System von StackPath läuft.
Es scheint keine Möglichkeit zu geben, dies zu ändern, sodass möglicherweise neue Konfigurationsoptionen für die CSP mit bestimmten default-src-Elementen erforderlich sind. Andernfalls funktioniert die CSP wie erwartet.
(Chrome hat dieses Problem, Firefox in einigen Fällen, aber hauptsächlich Chrome).