Volle Offenlegung – ich betrachte mich nicht als CSP-Experte!
Trotzdem glaube ich, dass es Szenarien gibt, in denen es ideal wäre, die Domain freizugeben, und andere Szenarien, in denen es besser ist, die einzelnen Skripte gezielt zu adressieren. Ich bin mir ziemlich sicher, dass dies davon abhängt, wie viele Skripte Sie freizugeben benötigen, ob Sie der Quelle vertrauen usw. Ich werde einen Hinweis in die Anleitung aufnehmen, der erwähnt, dass Sie bei Bedarf die Domain als All-in-One-Lösung verwenden können.
Die Einstellungen in den bereitgestellten Screenshots waren definitiv etwas übertrieben, aber ich stelle mir das als einen Versuch vor, alles abzudecken, da nichts funktionierte.
Ich habe gerade Pure Chat als Experiment auf meiner Testseite hinzugefügt. Ich konnte es in Chrome mit einem Hash zum Laufen bringen, aber das reichte für Safari und Firefox nicht aus. Ich habe es mit Penar besprochen, und dies scheint einer dieser unglücklichen Fälle zu sein, die 'unsafe-inline' erfordern, wie in folgendem Abschnitt erwähnt:
@BishopV Ich denke, Ihre einzige Option, wenn Sie bei Pure Chat bleiben möchten, besteht darin, alle Einträge in dieser Einstellung zu entfernen und 'unsafe-inline' auf Kosten der Sicherheit hinzuzufügen.
Haben Sie bereits Setup HubSpot chat Integration in Betracht gezogen? Das scheint sich sehr gut mit unserer CSP-Richtlinie zu vertragen.