Ao instalar o script HTML, está enfrentando problemas?

Suporte
1

Estou enfrentando um problema ao instalar o script do Pure Chat no meu fórum, pois o Discourse ativa o filtro de lista branca para proteção de segurança. Tentei adicionar alguns links do Pure Chat à lista branca, mas ainda assim a aba de conversa do Pure Chat não aparece. Por favor, ajudem-me. Aqui está a mensagem de erro:

legacy.111147.js:1 Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive:

at new Function (<anonymous>)
at Function.b.template (legacy.111147.js:1)
at Module.<anonymous> (legacy.111147.js:32)
at n (legacy.111147.js:1)
at Object.<anonymous> (legacy.111147.js:32)
at n (legacy.111147.js:1)
at legacy.111147.js:1
at legacy.111147.js:1

Alguém sabe como resolver esse problema? Se eu desativar a CSP, o script funciona normalmente. Mas como habilitar a CSP e fazê-la funcionar ao mesmo tempo?

2

Adicione a fonte do seu script na configuração content security policy script src.

3

adicionei esses links de erro quando os vi na aba do console :slight_smile:

Screen Shot 2020-04-19 at 1.50.47 PM
Screen Shot 2020-04-19 at 1.50.47 PM457×578 17.5 KB
Screen Shot 2020-04-19 at 1.50.40 PM
Screen Shot 2020-04-19 at 1.50.40 PM460×642 25.3 KB

mas ainda não está funcionando corretamente

4

Você está usando o recurso incorretamente; basta permitir o domínio na lista branca, não cada URL individualmente.

Talvez seja necessário melhorar o texto aqui @tshenry?

5

Obrigado pela ajuda. Vou tentar corrigir novamente.

6

mas ainda há o problema: o script do PureChat não aparece, mesmo se eu ativar o CSP. Mesmo tendo adicionado 2 novos links.

Screen Shot 2020-04-20 at 11.30.21 PM
Screen Shot 2020-04-20 at 11.30.21 PM466×306 5.9 KB

7

Transparência total: não me considero um guru de CSP!

Dito isso, acho que existem cenários em que seria ideal permitir o domínio na lista de permissões, e outros cenários em que é melhor direcionar os scripts individuais. Tenho quase certeza de que isso depende de quantos scripts você precisa permitir, se confia na fonte, etc. Vou adicionar uma nota ao guia mencionando que você pode usar o domínio como uma solução geral, se necessário.

As configurações nas capturas de tela fornecidas definitivamente foram um pouco exageradas, mas imagino que tenha sido apenas uma tentativa de cobrir tudo, já que nada estava funcionando.

Acabei de adicionar o Pure Chat ao meu site de teste como um experimento. Consegui fazê-lo funcionar no Chrome usando um hash, mas não foi suficiente para o Safari e o Firefox. Passei a ideia para o Penar e isso parece ser uma daquelas situações desafortunadas que exigirão 'unsafe-inline', conforme mencionado em:

@BishopV, acho que sua única opção, caso opte por permanecer com o Pure Chat, é remover todas as entradas que você tem nessa configuração e adicionar 'unsafe-inline', à custa da segurança.

Você já considerou usar Setup HubSpot chat Integration? Isso parece funcionar muito bem com nossa política de CSP.

8

De qualquer forma, o pior resultado possível seria alguém codificar manualmente 20 URLs exclusivas do mesmo domínio…

9

Obrigado pela ajuda. Acho que o HubSpot agora é a minha solução. Fico feliz por ter escolhido o Discourse como meu backend; há muita ajuda e suporte aqui.