Un autre site signale des erreurs CSP liées au point de terminaison /cdn-cgi/speculation : Refused to load the script 'site.com/cdn-cgi/speculation' because it violates the following Content Security Policy directive - #2 by simon. Je ne suis pas au courant de problèmes similaires signalés dans le passé. Peut-être que quelque chose a changé, soit sur Cloudflare, soit dans Discourse 3.4.0.
Le point de terminaison /cdn-cgi/speculation est ajouté aux domaines enregistrés sur Cloudflare lorsque la fonctionnalité « Speed Brain » est activée. Speed Brain est conçu pour accélérer les performances d’un site Web en permettant à Cloudflare de précharger le contenu lorsqu’un utilisateur survole un lien. Je ne suis pas sûr que cela soit compatible avec Discourse.
Je vois que l’en-tête Speculation-Rules est renvoyé avec la réponse lorsque je visite https://community.lezismore.org/login. Cela indique que la fonctionnalité Speed Brain est activée. D’après la documentation de Cloudflare, il semble qu’elle soit activée par défaut.
Pouvez-vous essayer de désactiver Speed Brain dans l’onglet Speed de votre tableau de bord Cloudflare ? Les instructions pour le faire se trouvent ici : Speed Brain · Cloudflare Speed docs.
La section « Caveats » de la documentation que j’ai liée indique :
- Speed Brain ne fonctionnera pas avec des configurations Content Security Policy
restrictives utilisant les attributs
strict-dynamicounonce-{hash}.
Si Speed Brain est compatible avec Discourse, nous devrons trouver comment l’ajouter aux règles de sécurité du contenu.