Возникли проблемы при установке HTML-скрипта?

Поддержка
1

У меня возникла проблема с установкой скрипта Pure Chat на мой форум, так как Discourse включает фильтр белого списка для защиты безопасности. Я попытался добавить несколько ссылок Pure Chat в белый список, но вкладка чата Pure Chat всё равно не отображается. Пожалуйста, помогите. Вот сообщение об ошибке:

legacy.111147.js:1 Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive:

at new Function (<anonymous>)
at Function.b.template (legacy.111147.js:1)
at Module.<anonymous> (legacy.111147.js:32)
at n (legacy.111147.js:1)
at Object.<anonymous> (legacy.111147.js:32)
at n (legacy.111147.js:1)
at legacy.111147.js:1
at legacy.111147.js:1

Кто-нибудь знает, как решить эту проблему? Если отключить CSP, скрипт будет работать нормально. Но как включить CSP и при этом обеспечить его работу?

2

Добавьте исходный код вашего скрипта в настройку content security policy script src.

3

Я добавил эти ссылки на ошибки, когда увидел их во вкладке консоли :slight_smile:

Screen Shot 2020-04-19 at 1.50.47 PM
Screen Shot 2020-04-19 at 1.50.47 PM457×578 17.5 KB
Screen Shot 2020-04-19 at 1.50.40 PM
Screen Shot 2020-04-19 at 1.50.40 PM460×642 25.3 KB

но всё равно не работает корректно

4

Вы используете функцию неправильно: достаточно добавить домен в белый список, а не каждый отдельный URL.

Возможно, здесь стоит улучшить текст @tshenry?

5

Спасибо за помощь, я попробую исправить снова.

6

Но проблема всё ещё остаётся: скрипт PureChat не отображается, если я включаю CSP, даже несмотря на то, что я добавил две новые ссылки.

Screen Shot 2020-04-20 at 11.30.21 PM
Screen Shot 2020-04-20 at 11.30.21 PM466×306 5.9 KB

7

Полное раскрытие: я не считаю себя гуру CSP!

Тем не менее, я думаю, что существуют сценарии, когда идеально подходит добавление домена в белый список, и другие сценарии, где лучше нацелиться на отдельные скрипты. Я почти уверен, что это зависит от того, сколько скриптов вам потребуется добавить в белый список, насколько вы доверяете источнику и т. д. Я добавлю примечание в руководство, где укажу, что при необходимости можно использовать домен как универсальное решение.

Настройки на предоставленных скриншотах, безусловно, были немного избыточны, но, полагаю, это была просто попытка покрыть всё, поскольку ничего не работало.

Я только что попробовал добавить Pure Chat на свой тестовый сайт в качестве эксперимента. Мне удалось заставить его работать в Chrome с помощью хеша, но этого было недостаточно для Safari и Firefox. Я обсудил это с Penar, и, похоже, это один из тех неприятных случаев, которые потребуют использования 'unsafe-inline', как упоминается в:

@BishopV Я думаю, что ваш единственный вариант, если вы решите остаться с Pure Chat, — это удалить все записи в этом настройке и добавить 'unsafe-inline', пожертвовав безопасностью.

Вы рассматривали возможность использования Setup HubSpot chat Integration вместо этого? Похоже, что это решение отлично сочетается с нашей политикой CSP.

8

В любом случае, наихудший возможный исход — это когда кто-то хардкодит 20 уникальных URL-адресов из одного и того же домена…

9

Спасибо за помощь! Думаю, теперь HubSpot — это моё решение. Я рад, что выбрал Discourse в качестве бэкенда: здесь много помощи и поддержки.