Discourse использует политику безопасности контента ‘strict-dynamic’ и добавляет nonce к корневому скрипту GTM.
Это означает, что в подавляющем большинстве случаев дополнительная настройка не требуется. strict-dynamic автоматически доверяет всем скриптам, загружаемым через GTM.
Если вы используете переменные пользовательского JavaScript в GTM, вам необходимо добавить 'unsafe-eval' в настройку сайта content security policy script src. Альтернативно, вы можете обновить конфигурацию GTM, используя ‘Custom Templates’ вместо ‘Custom Variables’.