Transparence totale : je ne me considère pas comme un guru du CSP !
Cela dit, je pense qu’il existe des scénarios où il serait idéal d’autoriser le domaine en blanc, et d’autres où il vaut mieux cibler les scripts individuels. Je suis presque certain que cela dépend du nombre de scripts que vous devez autoriser, de la confiance que vous accordez à la source, etc. J’ajouterai une note au guide mentionnant que vous pouvez utiliser le domaine comme solution universelle si nécessaire.
Les paramètres illustrés dans les captures d’écran fournies étaient certainement un peu excessifs, mais je suppose que c’était simplement une tentative de couvrir tout, puisque rien ne fonctionnait.
Je viens d’ajouter Pure Chat à mon site de test à titre d’expérience. J’ai pu le faire fonctionner sur Chrome en utilisant un hachage, mais cela n’a pas suffi pour Safari et Firefox. J’en ai parlé à Penar et cela semble être l’une de ces situations malheureuses qui nécessiteront 'unsafe-inline', comme mentionné dans :
@BishopV Je pense que votre seule option, si vous choisissez de rester avec Pure Chat, est de supprimer toutes les entrées que vous avez dans ce paramètre et d’ajouter 'unsafe-inline', au détriment de la sécurité.
Avez-vous envisagé d’utiliser Setup HubSpot chat Integration à la place ? Cela semble s’intégrer très bien avec notre politique CSP.