Há outro site relatando erros de CSP relacionados ao endpoint /cdn-cgi/speculation: Refused to load the script 'site.com/cdn-cgi/speculation' because it violates the following Content Security Policy directive - #2 by simon. Não estou ciente de problemas semelhantes que tenham sido relatados no passado. Talvez algo tenha mudado no Cloudflare ou no Discourse 3.4.0.
O endpoint /cdn-cgi/speculation é adicionado a domínios registrados no Cloudflare quando o recurso “Speed Brain” está ativado. O Speed Brain destina-se a acelerar o desempenho de um site, permitindo que o Cloudflare pré-carregue conteúdo quando um usuário passa o mouse sobre um link. Não tenho certeza se isso é compatível com o Discourse.
Vejo que o cabeçalho Speculation-Rules está sendo retornado com a resposta quando visito https://community.lezismore.org/login. Isso indica que o recurso Speed Brain está ativado. Pelos documentos do Cloudflare, parece que ele está ativado por padrão.
Você pode tentar desativar o Speed Brain na aba Speed do seu painel do Cloudflare? As instruções sobre como fazer isso estão aqui: Speed Brain · Cloudflare Speed docs.
A seção “Caveats” dos documentos que linkei diz:
- O Speed Brain não funcionará com configurações restritivas de Content Security Policy
usando atributos
strict-dynamicounonce-{hash}.
Se o Speed Brain for compatível com o Discourse, teremos que descobrir como adicioná-lo às regras de Content Security.