Hallo,
ich habe jetzt eine deutlich einfachere Lösung. Das sollte wahrscheinlich unter Embed Discourse comments on another website via Javascript erwähnt werden:
Für das Cross-Site-Embedding fügen Sie auf den einbettenden Seiten entweder hinzu:
<meta name="referrer" content="strict-origin">mit einerPath Allowlist, die auf/.*gesetzt ist (da kein Pfad übermittelt wird), oder<meta name="referrer" content="no-referrer-when-downgrade">mit der tatsächlichenPath Allowlist.
Wie in Referrer-Policy header - HTTP | MDN erwähnt, „arbeiten Browser daran, einen strengeren Standardwert einzuführen“, und das Discourse-Embedding verlässt sich für das Cross-Host-Embedding noch auf den alten Standard.
Viele Grüße, Axel.