Привет,
Может кто-нибудь поделиться настройками мета-политики CSP?
На Meta включен CSP, и мы рекомендуем всем включать его на своих сайтах! Это обеспечивает хороший уровень защиты от эксплойтов. Content Security Policy (CSP) - HTTP | MDN
Я переведу это 
У нас не так много настроек CSP, чтобы делиться ими. Только включено или выключено…
Другие системы позволяют администраторам легко настраивать CSP. Discourse не относится к таким системам.
(Не по теме, но CSP сильно переоценена, потому что приходится использовать так много настроек, которые на самом деле разрешают слишком многое, ослабляя CSP. А на глобальных сайтах Google Ads и CSP — это боль в самых чувствительных местах…)
Вы можете добавлять новые домены в политику CSP для script src в настройках сайта — это основной сценарий использования для наших пользователей.
Плагины могут расширять любые другие директивы CSP.
Хорошо знать, что мы можем переопределить настройки по умолчанию с помощью полной стратегии CSP. Каждый день что-то новое 