Banner de consentimento bloqueado por CSP

Porque isto importa

Uma CSP rigorosa é boa higiene de segurança, mas se bloquear o próprio CMP o site pode perder silenciosamente toda a camada de consentimento em produção.

Como verificar manualmente

1. Abra a consola DevTools e procure violações CSP relacionadas com assets do CMP.
2. Verifique se o script do banner, CSS, iframe ou endpoints API estão bloqueados.
3. Compare o comportamento CSP entre local e produção se o problema só aparecer em produção.

Causas típicas

• Domínios do CMP não estão permitidos em script-src, frame-src ou connect-src.
• Regras CSP baseadas em nonce ou hash não cobrem o código inline de bootstrap do CMP.
• Um deploy alterou headers CSP sem revalidar as dependências do CMP.

Correção no GTM

1. Não conte com GTM como workaround se os próprios assets CMP estiverem bloqueados pela CSP.
2. Reveja se fallbacks CMP injetados via GTM violam as mesmas regras CSP.
3. Reteste após atualizações aos headers CSP em produção.

Correção em WordPress ou plugins CMP

1. Verifique plugins de segurança, headers do host e regras CDN que injetem CSP.
2. Whitelist apenas os domínios CMP realmente usados pela configuração do banner.
3. Reteste após alterar headers com cache do navegador desativada.

Correção genérica para developers

1. Whitelist apenas as origins CMP mínimas necessárias para scripts, frames e chamadas API.
2. Prefira atualizações CSP direcionadas em vez de afrouxar toda a policy.
3. Versione regras CSP e volte a testar o banner a cada alteração.

Como confirmar que a correção funciona

• Confirme que erros CSP ligados a assets CMP desaparecem.
• Confirme que o banner renderiza normalmente e aceita interação do utilizador.
• Execute um novo scan e verifique que o issue do banner desaparece.