Consentbanner geblokkeerd door CSP

Waarom dit belangrijk is

Een strikte CSP is goede security-hygiëne, maar als die de CMP zelf blokkeert kan de site in productie stilletjes zijn hele consentlaag verliezen.

Hoe je dit handmatig controleert

1. Open de DevTools-console en zoek naar CSP-overtredingen rond CMP-assets.
2. Controleer of bannerscript, CSS, iframe of API-endpoints worden geblokkeerd.
3. Vergelijk lokaal en productiegedrag als het probleem alleen in productie optreedt.

Typische oorzaken

• CMP-domeinen ontbreken in script-src, frame-src of connect-src.
• Nonce- of hash-gebaseerde CSP-regels dekken de inline bootstrapcode van de CMP niet.
• Een deployment heeft CSP-headers gewijzigd zonder CMP-afhankelijkheden opnieuw te valideren.

Fix in GTM

1. Vertrouw niet op GTM als workaround als CMP-assets zelf door CSP worden geblokkeerd.
2. Controleer of via GTM geïnjecteerde CMP-fallbacks tegen dezelfde CSP-regels aanlopen.
3. Test opnieuw na CSP-updates in productieheaders.

Fix in WordPress of CMP-plugins

1. Controleer securityplugins, hostheaders en CDN-regels die CSP injecteren.
2. Whitelist alleen de CMP-domeinen die je bannersetup echt gebruikt.
3. Test opnieuw na headerwijzigingen met browsercache uitgeschakeld.

Algemene developersfix

1. Whitelist alleen de minimaal vereiste CMP-origins voor scripts, frames en API-calls.
2. Geef de voorkeur aan gerichte CSP-updates in plaats van de hele policy te versoepelen.
3. Versioneer CSP-regels en test de banner opnieuw bij elke wijziging.

Hoe je bevestigt dat de fix werkt

• Bevestig dat CSP-fouten voor CMP-assets verdwijnen.
• Bevestig dat de banner normaal rendert en gebruikersinput accepteert.
• Draai een nieuwe scan en controleer dat het bannerissue verdwijnt.