Es gibt eine weitere Website, die CSP-Fehler im Zusammenhang mit dem Endpunkt /cdn-cgi/speculation meldet: Refused to load the script 'site.com/cdn-cgi/speculation' because it violates the following Content Security Policy directive - #2 by simon. Mir sind keine ähnlichen Probleme bekannt, die in der Vergangenheit gemeldet wurden. Möglicherweise hat sich entweder bei Cloudflare oder in Discourse 3.4.0 etwas geändert.
Der Endpunkt /cdn-cgi/speculation wird zu Domains hinzugefügt, die auf Cloudflare registriert sind, wenn die Funktion „Speed Brain“ aktiviert ist. Speed Brain soll die Leistung einer Website verbessern, indem es Cloudflare ermöglicht, Inhalte vorab abzurufen, wenn ein Benutzer mit der Maus über einen Link fährt. Ich bin mir nicht sicher, ob dies mit Discourse kompatibel ist.
Ich sehe, dass der Header Speculation-Rules mit der Antwort zurückgegeben wird, wenn ich https://community.lezismore.org/login besuche. Das deutet darauf hin, dass die Funktion Speed Brain aktiviert ist. Aus den Cloudflare-Dokumenten geht hervor, dass sie standardmäßig aktiviert ist.
Können Sie versuchen, Speed Brain im Tab „Speed“ Ihres Cloudflare-Dashboards zu deaktivieren? Anweisungen dazu finden Sie hier: Speed Brain · Cloudflare Speed docs.
Im Abschnitt „Caveats“ der von mir verlinkten Dokumentation heißt es:
- Speed Brain funktioniert nicht mit restriktiven Content Security Policy
-Konfigurationen, die die Attribute
strict-dynamicodernonce-{hash}verwenden.
Wenn Speed Brain mit Discourse kompatibel ist, müssen wir herausfinden, wie wir es zu den Content Security-Regeln hinzufügen können.