Allvar: MedelAnsvarig: UtvecklingTid att åtgärda: 30-90 min
Samtyckesbannern blockeras av CSP
Uppdatera Content Security Policy så att CMP-skript, stilar eller iframe-resurser kan laddas utan att säkerheten mjukas upp i onödan.
Täcker: cmp_blocked_by_csp, consent_banner_csp_error
Varför det här är viktigt
En strikt CSP är god säkerhetshygien, men om den blockerar själva CMP:n kan webbplatsen tyst förlora hela sitt samtyckeslager i produktion.
Så verifierar du manuellt
- Öppna DevTools-konsolen och leta efter CSP-överträdelser kring CMP-tillgångar.
- Kontrollera om bannerns script, CSS, iframe eller API-endpoints blockeras.
- Jämför CSP-beteendet lokalt och i produktion om problemet bara uppstår i produktion.
Typiska orsaker
- CMP-domäner är inte tillåtna i script-src-, frame-src- eller connect-src-regler.
- Nonce- eller hash-baserade CSP-regler täcker inte CMP:ns inline-bootstrap-kod.
- En deploy ändrade CSP-headern utan att CMP-beroenden validerades igen.
Åtgärd i GTM
- Förlita er inte på GTM som workaround om själva CMP-tillgångarna blockeras av CSP.
- Granska om GTM-injicerade CMP-fallbackar bryter mot samma CSP-regler.
- Testa igen efter att CSP-headern uppdaterats i produktion.
Åtgärd i WordPress eller CMP-pluginer
- Granska säkerhetspluginer, hostingheaders och CDN-regler som injicerar CSP.
- Vitlista bara de CMP-domäner som bannerkonfigurationen faktiskt använder.
- Testa igen med avstängd webbläsarcache efter headerändringar.
Generell utvecklaråtgärd
- Vitlista endast de CMP-origins som minimalt krävs för skript, frames och API-anrop.
- Föredra riktade CSP-uppdateringar i stället för att försvaga hela policyn.
- Versionshantera CSP-regler och testa bannern igen vid varje ändring.
Så bekräftar du att åtgärden fungerar
- Bekräfta att CSP-fel kopplade till CMP-tillgångar försvinner.
- Bekräfta att bannern renderas normalt och accepterar användarinteraktion.
- Kör en ny skanning och kontrollera att bannerproblemet försvinner.
Nästa steg
Kör en ny skanning efter driftsättning för att bekräfta att det verkliga körningsbeteendet ändrades, inte bara bannertexten.