Il CSP predefinito non utilizza alcune impostazioni che dovrebbero essere configurate: default-src dovrebbe essere impostato su “self”, l’URL e le CDN se configurate. Questo è stato fatto per gli snippet di script, ma il fatto che default-src non sia impostato mentre altri elementi CSP lo sono, può causare errori nella connessione alle CDN e altro in alcuni casi a causa di questa confusione.
Ciò è stato scoperto durante la configurazione di un’istanza di test e il debug di un’istanza Discourse ora ospitata su un sistema di storage oggetti MinIO e CDN di StackPath.
Sembra non esserci modo di modificare questo comportamento, quindi potrebbe essere necessario introdurre nuove opzioni per configurare il CSP con determinati elementi default-src. Altrimenti, il CSP funziona come previsto.
(Questo problema si verifica su Chrome e, in alcuni casi, su Firefox, ma principalmente su Chrome)