Banner di consenso bloccato da CSP

Perché è importante

Una CSP rigorosa è una buona pratica di sicurezza, ma se blocca il CMP stesso il sito può perdere silenziosamente l'intero livello di consenso in produzione.

Come verificare manualmente

1. Apri la console DevTools e cerca violazioni CSP relative agli asset del CMP.
2. Controlla se script banner, CSS, iframe o endpoint API vengono bloccati.
3. Confronta il comportamento CSP tra locale e produzione se il problema appare solo in produzione.

Cause tipiche

• I domini CMP non sono consentiti in script-src, frame-src o connect-src.
• Le regole CSP basate su nonce o hash non coprono il codice inline di bootstrap del CMP.
• Un deploy ha modificato gli header CSP senza rivalidare le dipendenze del CMP.

Correzione in GTM

1. Non affidarti a GTM come workaround se gli asset CMP sono bloccati dalla CSP stessa.
2. Rivedi se fallback CMP iniettati via GTM violano le stesse regole CSP.
3. Ritesta dopo aggiornamenti agli header CSP in produzione.

Correzione in WordPress o plugin CMP

1. Controlla plugin di sicurezza, header dell'hosting e regole CDN che iniettano CSP.
2. Consenti solo i domini CMP realmente usati dalla configurazione del banner.
3. Ritesta dopo la modifica degli header con cache browser disattivata.

Correzione generica lato sviluppo

1. Consenti solo le origini CMP minime necessarie per script, frame e chiamate API.
2. Preferisci aggiornamenti CSP mirati invece di allentare tutta la policy.
3. Versiona le regole CSP e ritesta il banner a ogni cambiamento.

Come confermare che la correzione funziona

• Conferma che gli errori CSP legati agli asset CMP scompaiano.
• Conferma che il banner venga renderizzato normalmente e accetti input utente.
• Esegui una nuova scansione e verifica che il problema del banner scompaia.