Полное раскрытие: я не считаю себя гуру CSP!
Тем не менее, я думаю, что существуют сценарии, когда идеально подходит добавление домена в белый список, и другие сценарии, где лучше нацелиться на отдельные скрипты. Я почти уверен, что это зависит от того, сколько скриптов вам потребуется добавить в белый список, насколько вы доверяете источнику и т. д. Я добавлю примечание в руководство, где укажу, что при необходимости можно использовать домен как универсальное решение.
Настройки на предоставленных скриншотах, безусловно, были немного избыточны, но, полагаю, это была просто попытка покрыть всё, поскольку ничего не работало.
Я только что попробовал добавить Pure Chat на свой тестовый сайт в качестве эксперимента. Мне удалось заставить его работать в Chrome с помощью хеша, но этого было недостаточно для Safari и Firefox. Я обсудил это с Penar, и, похоже, это один из тех неприятных случаев, которые потребуют использования 'unsafe-inline', как упоминается в:
@BishopV Я думаю, что ваш единственный вариант, если вы решите остаться с Pure Chat, — это удалить все записи в этом настройке и добавить 'unsafe-inline', пожертвовав безопасностью.
Вы рассматривали возможность использования Setup HubSpot chat Integration вместо этого? Похоже, что это решение отлично сочетается с нашей политикой CSP.