Piena trasparenza: non mi considero un guru di CSP!
Detto questo, penso che ci siano scenari in cui sarebbe ideale whitelistaare il dominio, e altri scenari in cui è meglio prendere di mira gli script individuali. Sono quasi sicuro che dipenda da quanti script scopri di dover whitelistaare, se ti fidi della fonte, ecc. Aggiungerò una nota alla guida che menziona che puoi utilizzare il dominio come soluzione universale se necessario.
Le impostazioni nelle schermate fornite erano decisamente un po’ eccessive, ma immagino che fosse solo un tentativo di coprire tutto, dato che nulla funzionava.
Ho appena provato ad aggiungere Pure Chat al mio sito di prova come esperimento. Sono riuscito a farlo funzionare su Chrome usando un hash, ma non è stato sufficiente per Safari e Firefox. Ne ho parlato con Penar e sembra che questa sia una di quelle sfortunate situazioni che richiederanno 'unsafe-inline', come menzionato in:
@BishopV Penso che la tua unica opzione, se scegli di rimanere con Pure Chat, sia rimuovere tutte le voci che hai in quella impostazione e aggiungere 'unsafe-inline', a costo della sicurezza.
Hai considerato di utilizzare invece Setup HubSpot chat Integration? Sembra funzionare molto bene con la nostra policy CSP.