嘿 @michaeld,我已将 FIX: invalid CSP directive sources should allow site to boot with valid CSP directives by tyb-talks · Pull Request #31256 · discourse/discourse · GitHub 的修复合并到最新的 main 分支。现在该修复也已在 tests-passed 和 stable 分支中可用。
此 CSP 指令处理行为的更改源于 Rails 中一个回传的安全补丁——我在 PR 中对此进行了更详细的说明。
Discourse 现在将在构建 CSP 之前过滤掉这些值。
关于安全模式,由于它只禁用 JavaScript 部分,因此在这里无济于事,因为这些数据是在服务器端处理的。