Banner zgody blokowany przez CSP

Dlaczego to ważne

Restrykcyjna CSP to dobra higiena bezpieczeństwa, ale jeśli blokuje sam CMP, strona może po cichu stracić całą warstwę zgody na produkcji.

Jak zweryfikować to ręcznie

1. Otwórz konsolę DevTools i poszukaj naruszeń CSP związanych z assetami CMP.
2. Sprawdź, czy skrypt bannera, CSS, iframe albo endpointy API są blokowane.
3. Porównaj zachowanie CSP lokalnie i na produkcji, jeśli problem występuje tylko na produkcji.

Typowe przyczyny

• Domeny CMP nie są dopuszczone w script-src, frame-src albo connect-src.
• Reguły CSP oparte o nonce lub hash nie obejmują inline bootstrap code CMP.
• Deploy zmienił nagłówki CSP bez ponownej walidacji zależności CMP.

Naprawa w GTM

1. Nie polegaj na GTM jako workaroundzie, jeśli same assety CMP są blokowane przez CSP.
2. Sprawdź, czy fallbacki CMP wstrzykiwane przez GTM nie łamią tych samych reguł CSP.
3. Przetestuj ponownie po aktualizacji nagłówków CSP na produkcji.

Naprawa w WordPressie lub wtyczkach CMP

1. Sprawdź pluginy security, nagłówki hostingu i reguły CDN, które wstrzykują CSP.
2. Whitelistuj tylko domeny CMP rzeczywiście używane przez konfigurację bannera.
3. Przetestuj ponownie po zmianach nagłówków przy wyłączonym cache przeglądarki.

Ogólna poprawka developerska

1. Whitelistuj tylko minimalne origins CMP potrzebne dla skryptów, frame'ów i wywołań API.
2. Preferuj precyzyjne aktualizacje CSP zamiast rozluźniania całej polityki.
3. Wersjonuj reguły CSP i testuj banner ponownie przy każdej zmianie.

Jak potwierdzić, że poprawka działa

• Potwierdź, że błędy CSP dotyczące assetów CMP znikają.
• Potwierdź, że banner renderuje się normalnie i przyjmuje interakcję użytkownika.
• Uruchom nowy skan i sprawdź, że problem bannera znika.