Есть ещё один сайт, где сообщается об ошибках CSP, связанных с конечной точкой /cdn-cgi/speculation: Refused to load the script 'site.com/cdn-cgi/speculation' because it violates the following Content Security Policy directive - #2 by simon. Мне неизвестно о подобных проблемах, которые могли быть зафиксированы ранее. Возможно, что-то изменилось либо в Cloudflare, либо в версии Discourse 3.4.0.
Конечная точка /cdn-cgi/speculation добавляется к доменам, зарегистрированным в Cloudflare, когда включена функция «Speed Brain». Speed Brain предназначена для ускорения производительности веб-сайта, позволяя Cloudflare предварительно загружать контент, когда пользователь наводит курсор на ссылку. Не уверен, что это совместимо с Discourse.
Я вижу, что при посещении https://community.lezismore.org/login в ответе возвращается заголовок Speculation-Rules. Это указывает на то, что функция Speed Brain включена. Согласно документации Cloudflare, похоже, что она включена по умолчанию.
Попробуйте отключить Speed Brain на вкладке Speed в панели управления Cloudflare. Инструкции по выполнению этой операции доступны здесь: Speed Brain · Cloudflare Speed docs.
В разделе «Caveats» (Ограничения) документации, на которую я ссылался, сказано:
- Speed Brain не будет работать с ограничивающими конфигурациями Content Security Policy
, использующими атрибуты
strict-dynamicилиnonce-{hash}.
Если Speed Brain действительно совместима с Discourse, нам придётся выяснить, как добавить её в правила Content Security.