Essas são ótimas informações. Ainda não vi um problema de CORS especificamente, mas vou investigar mais sobre isso. Se encontrar algo, postarei aqui.
Depois de ver os scripts, parece estar relacionado ao Cloudflare. Vocês estão usando o Cloudflare? https://boards.neocron.org/cdn-cgi/apps/head/QNWX_8GN-3K7wUr6Qa73LdoD3JI.js. Nós não estamos usando isso, então provavelmente não vimos esse problema específico.
Obrigado!
Ao investigar, constatamos que Settings->Security->content security policy estava ativado.
Ao desativá-lo, os usuários conseguiram se registrar. Tentamos adicionar as URLs encontradas no relatório acima às fontes de script na lista branca, mas isso não resolveu o problema.
Parece que o Chrome reforçou sua CSP. → Manifest - Content Security Policy | Chrome Extensions | Chrome for Developers
Hmm, receio que isso esteja desabilitado. Deve ser outra coisa que está causando esse problema.
Também temos a flag CORS habilitada, mas não temos certeza se isso está relacionado.
Este é um problema de CSP, não de CORS.
Esta é uma configuração de subpasta?
EDIT: voltando a olhar para isso novamente, vejo o que está acontecendo.
Posso confirmar que isso foi injetado pelo CF.
Recomendamos FORTMENTE não desativar o CSP em um site de produção. Em vez disso, desative o Cloudflare se possível (tivemos MUITOS, MUITOS casos de suporte sobre o CF afetando negativamente o JS do Discourse) ou, pelo menos, desative todas as otimizações do Cloudflare.
Isso abre falhas de segurança enormes no seu site. RECOMENDAMOS FORTMENTE que você NÃO faça isso. É um conselho muito ruim.
Olá @supermathie,
Não utilizamos o Cloudflare e estamos enfrentando esse problema agora com 2 usuários. A solução temporária que estamos oferecendo a eles é usar o modo anônimo ou outro navegador, mas talvez haja mais usuários que não estão relatando esse problema para nós.
Nossa comunidade é composta principalmente por pessoas não técnicas, então não acho que eles tenham configurações de navegador estranhas.
Você pode fornecer mais informações sobre o que está desencadeando esse problema? Talvez eu possa partir daí para encontrar uma solução.
Obrigado!
Gostaríamos muito de saber exatamente.
Há um campo de entrada oculto na tela “Criação de Conta” que é verificado quanto à integridade no momento da criação da conta.
Se esse campo for adulterado, a criação da conta falha.
Você poderia pedir aos seus usuários que desativem seus plugins um por um até localizarem o culpado?
Também temos um ticket aberto com o projeto do Chrome para investigar esse comportamento.
Deixe-me lembrar você desta captura de tela de um computador de um usuário não técnico:
Você não pode assumir nada 
É, quero dizer, não é mais 2000; a segurança do navegador e a prevenção de malware estão melhores agora (acho eu). Outro usuário relatou isso hoje; vou tentar obter mais informações dele e, com sorte, encontrar algo.
Obrigado!
Fantástico. Queremos realmente acertar isso, então nos avise.
Tenho um amigo que também está enfrentando esse problema — estou tentando recrutá-lo como moderador. Quando me cadastro em uma janela anônima, tudo funciona bem, mas ele não consegue, mesmo usando uma janela anônima. Então, tenho certeza de que o problema não está na minha instalação (estou usando plugins no meu Discourse, mas apenas os oficiais), e sim no navegador dele em algum lugar.
Estou trabalhando com ele para identificar a causa exata do problema, mas, se não for algo relacionado aos plugins, estou me perguntando se há algo relacionado às nossas versões do Chrome — talvez algo acontecendo nos bastidores do navegador que eu não saiba, mas ainda não posso afirmar com certeza. No momento, estou tentando obter o número da versão dele para comparar, mas como ele é da Califórnia, se for sensato, deve estar dormindo 
OK, não faz muito sentido, mas ele está acordado e prestativo. Ele atualizou da versão 75.0.3770.142 para a 76.0.3808.87 (64 bits), o que, por si só, não resolveu o problema na janela principal. No entanto, após limpar o cache e os cookies, ele conseguiu se cadastrar em uma janela anônima. Ele usa uma instalação totalmente limpa do Chrome, exceto pelo Adblocker.
EDIT: Não posso afirmar se limpar o cache ou os cookies funcionaria na versão 75.0.3770.142 sem conseguir reproduzir o problema (o que não consigo), mas acho interessante que, pelo menos, tenha ajudado meu amigo.
Olá, configurei uma nova instância hoje em community.boid.com e encontrei esta mensagem de erro ao tentar registrar uma segunda conta (tanto na janela normal do Chrome quanto na aba anônima). Consegui resolver o problema excluindo manualmente as senhas de preenchimento automático da minha conta do Google e não utilizando nenhuma das opções de preenchimento automático no formulário de cadastro. Percebi que o Chrome estava sugerindo várias opções de autenticação diferentes para preenchimento automático a partir de outros sites não relacionados. Não observei esse comportamento em outros sites, então gostaria apenas de compartilhar minha experiência.
Pelo que pude verificar, isso parece estar relacionado ao preenchimento automático do Google Chrome.
Tenho uma maneira de reproduzir isso, mas é complicada. Você precisará de duas janelas do navegador.
Carregue seu site no modo anônimo e abra o diálogo “criar novo usuário”.
Em uma segunda janela do navegador, faça login como administrador. Acesse as configurações do site. Ative “apenas por convite”, o que desabilita o registro público.
No navegador anônimo, tente concluir o cadastro como novo usuário por meio daquele diálogo de criação de novo usuário que você abriu anteriormente.
Você não conseguirá, porque a criação de novos usuários não é mais permitida, então você verá… nosso velho amigo…
Pelo menos temos essa reprodução, embora seja… insana. 
Nunca, em hipótese alguma, consegui reproduzir isso de outra forma, nem ninguém neste tópico já conseguiu fornecer um conjunto de etapas de reprodução em uma instância padrão do Chrome sem plugins. Se você puder, por favor, venha à frente e forneça essas etapas de reprodução..
Reproduzi esse erro no try.discourse.org:
OK, muito bem, temos um caso reproduzível com o qual podemos trabalhar, obrigado por isso.
No entanto, observe que ainda é necessária uma ação manual do usuário — clique com o botão direito no campo de senha durante a criação de uma nova conta / cadastro e pressione “sugerir”. Preciso atualizar a página com F5 antes de iniciar o diálogo de cadastro para que isso apareça de forma confiável, mas depois disso funciona.
Agora que temos uma espécie de caso reproduzível, @sam, talvez possamos atribuir a tarefa?
Temos dois mecanismos em ação para impedir que bots registrem contas de forma indiscriminada.
Fingimos ter um campo de “confirmação de senha” que, na verdade, é uma “pegadinha”: esperamos que ele contenha um valor muito específico. É um campo de entrada (INPUT) que não é exibido na tela; ele está dentro de uma div oculta.
Temos uma string de desafio que esperamos que o JavaScript processe e devolva.
Se qualquer um dos dois itens (1) ou (2) não ocorrer corretamente, tratamos a solicitação como suspeita e não registramos a conta.
O que o gerenciador de senhas do Chrome está fazendo é “preencher” a senha no campo new-account-confirm:
{{input type="password" value=accountPasswordConfirm id="new-account-confirmation" autocomplete="new-password"}}
Esse INPUT está oculto e não é renderizado na tela.
Temos duas alternativas aqui.
Remover essa proteção e aceitar como fato da vida que gerenciadores de senha cometem erros nesse ponto. Eles não se dão ao trabalho de verificar se um campo de “confirmação de senha” está realmente visível antes de preenchê-lo.
Pedir à equipe do Chrome que pare de fazer isso; preencher informações em INPUTs que não são visíveis não é educado. (Eu fiz isso)
Não sei… acho que podemos seguir com a opção (1), pois é uma mudança simples. Poderia remover a proteção e fazer o cliente JavaScript calcular um hash no estilo Bitcoin para provar que está ativo e realizando trabalho. Por exemplo, eu forneço uma string ao cliente e peço que ele anexe números a ela até que o MD5 termine com 00. Pelo menos isso será penalizador para bots e extremamente barato de verificar no servidor.
Fazer bots calcular MD5s cegamente, imagino, é uma maneira de fazê-los literalmente pagar as contas e financiar minha aposentadoria nas Bahamas.
É possível desativar completamente um mecanismo desse tipo e habilitar o antigo CAPTCHA do Google? Acredito que isso manteria a segurança e, ao mesmo tempo, permitiria que mais usuários se registrassem.
Ou podemos aguardar seu hotfix. Qual opção parece melhor para você? Vamos lançar um grande fluxo de nossos parceiros em nosso fórum no início da próxima semana.
Acabei de criar uma nova conta, SEM nenhum anti-spam / spyware / software no navegador, e enfrentei o mesmo problema. Resolvi usando o método ‘entrar com o Google’ e funcionou a partir daí.
