完全坦白——我不认为自己是个 CSP 专家!
尽管如此,我认为有些场景下白名单整个域名是最理想的,而另一些场景下则更适合针对单个脚本进行配置。我相当确定这取决于你需要白名单的脚本数量、你是否信任该来源等因素。我会在指南中补充一条说明,提到在必要时可以使用域名作为通用覆盖方案。
提供的截图中显示的设置确实有点过度了,但我猜那只是为了覆盖所有情况而做出的尝试,因为当时没有任何东西能正常工作。
我刚刚在测试站点上尝试添加了 Pure Chat 作为实验。我可以通过哈希值在 Chrome 上使其运行,但这对于 Safari 和 Firefox 来说还不够。我向 Penar 咨询过,这似乎确实是那种不幸的情况,需要像以下引用中提到的那样使用 'unsafe-inline':
@BishopV 如果你选择继续使用 Pure Chat,我认为你唯一的选择就是删除该设置中的所有条目,并添加 'unsafe-inline',但这会以牺牲安全性为代价。
你有没有考虑过使用 Setup HubSpot chat Integration 中的 HubSpot 聊天集成?该方案似乎与我们的 CSP 策略配合得非常完美。