Závažnost: StředníVlastník: VývojČas na opravu: 30-90 min
Banner souhlasu je blokovaný CSP
Aktualizujte Content Security Policy tak, aby CMP skript, styly nebo iframe zdroje mohly běžet bez zbytečného oslabování zabezpečení.
Zahrnuje: cmp_blocked_by_csp, consent_banner_csp_error
Proč je to důležité
Přísná CSP je dobrá security hygiena, ale pokud blokuje samotné CMP, může web v produkci tiše přijít o celou consent vrstvu.
Jak to ověřit ručně
- V DevTools konzoli hledejte CSP porušení spojená s CMP assety.
- Ověřte, zda nejsou blokované banner skript, CSS, iframe nebo API endpointy.
- Pokud se problém projevuje jen v produkci, porovnejte lokální a produkční CSP chování.
Typické příčiny
- CMP domény nejsou povolené v script-src, frame-src nebo connect-src.
- Nonce nebo hash založená CSP pravidla nepokrývají inline bootstrap kód CMP.
- Deploy změnil CSP hlavičky bez nové validace CMP závislostí.
Oprava v GTM
- Nespoléhejte na GTM jako workaround, pokud CSP blokuje samotné CMP assety.
- Prověřte, zda CMP fallbacky injektované přes GTM nenarážejí na stejná CSP pravidla.
- Po úpravě produkčních CSP hlaviček vše znovu otestujte.
Oprava ve WordPressu nebo CMP pluginech
- Zkontrolujte security pluginy, hostingové hlavičky a CDN pravidla, která CSP injektují.
- Whitelistujte jen CMP domény, které vaše banner konfigurace opravdu používá.
- Po změně hlaviček testujte s vypnutou cache prohlížeče.
Obecná vývojářská oprava
- Whitelistujte jen minimálně nutné CMP origins pro skripty, framy a API volání.
- Preferujte cílené CSP úpravy namísto uvolnění celé policy.
- Versionujte CSP pravidla a banner po každé změně znovu testujte.
Jak potvrdit, že oprava funguje
- Potvrďte, že CSP chyby spojené s CMP assety zmizely.
- Potvrďte, že se banner normálně renderuje a přijímá uživatelskou interakci.
- Spusťte nový sken a ověřte, že banner issue zmizelo.
Další krok
Po nasazení spusťte nový sken a potvrďte, že se změnilo skutečné runtime chování, nejen text banneru.