Gravità: MediaResponsabile: SviluppoTempo di correzione: 30-90 min
Banner di consenso bloccato da CSP
Aggiorna la Content Security Policy per consentire il caricamento di script CMP, stili o risorse iframe senza aprire inutilmente la sicurezza.
Copre: cmp_blocked_by_csp, consent_banner_csp_error
Perché è importante
Una CSP rigorosa è una buona pratica di sicurezza, ma se blocca il CMP stesso il sito può perdere silenziosamente l'intero livello di consenso in produzione.
Come verificare manualmente
- Apri la console DevTools e cerca violazioni CSP relative agli asset del CMP.
- Controlla se script banner, CSS, iframe o endpoint API vengono bloccati.
- Confronta il comportamento CSP tra locale e produzione se il problema appare solo in produzione.
Cause tipiche
- I domini CMP non sono consentiti in script-src, frame-src o connect-src.
- Le regole CSP basate su nonce o hash non coprono il codice inline di bootstrap del CMP.
- Un deploy ha modificato gli header CSP senza rivalidare le dipendenze del CMP.
Correzione in GTM
- Non affidarti a GTM come workaround se gli asset CMP sono bloccati dalla CSP stessa.
- Rivedi se fallback CMP iniettati via GTM violano le stesse regole CSP.
- Ritesta dopo aggiornamenti agli header CSP in produzione.
Correzione in WordPress o plugin CMP
- Controlla plugin di sicurezza, header dell'hosting e regole CDN che iniettano CSP.
- Consenti solo i domini CMP realmente usati dalla configurazione del banner.
- Ritesta dopo la modifica degli header con cache browser disattivata.
Correzione generica lato sviluppo
- Consenti solo le origini CMP minime necessarie per script, frame e chiamate API.
- Preferisci aggiornamenti CSP mirati invece di allentare tutta la policy.
- Versiona le regole CSP e ritesta il banner a ogni cambiamento.
Come confermare che la correzione funziona
- Conferma che gli errori CSP legati agli asset CMP scompaiano.
- Conferma che il banner venga renderizzato normalmente e accetti input utente.
- Esegui una nuova scansione e verifica che il problema del banner scompaia.
Passaggio successivo
Riesegui una scansione dopo il deploy per confermare che sia cambiato il comportamento reale a runtime, non solo il testo del banner.