Os sites podem aplicar Políticas de Segurança de Conteúdo (mais informação aqui: https://developer.mozilla.org/pt-BR/docs/Web/HTTP/CSP), a fim de mitigar potenciais ataques de Cross-Site Scripting ou injeção de dados.
Se o seu site aplica este tipo de políticas é crucial que você adicione os domínios do Pushnews às whitelists "default-src", "script-src", "style-src", "img-src" e "connect-src".
⚠️ Caso não faça isso o Pushnews não vai funcionar corretamente e você não conseguirá capturar inscritos.
Nossos domínios são os seguintes:
*.pn.vg
*.pushnews.eu
*.smrk.io
*.cachefly.net
*.engagement.coremedia.cloud
E todos eles devem ser whitelisted.
Exemplos
Exemplo 1: Site com CSP errada
Com a seguinte policy:
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self'
Acontecerá esse erro:
Exemplo 2: Site com CSP correta
Com essa CSP, o Site não devolve erro e o Pushnews vai funcionar corretamente
Content-Security-Policy: default-src 'self' *.pn.vg *.pushnews.eu *.smrk.io *.cachefly.net *.engagement.coremedia.cloud; script-src 'self' 'unsafe-inline' *.pn.vg *.pushnews.eu *.smrk.io *.cachefly.net *.engagement.coremedia.cloud; style-src 'self' 'unsafe-inline' *.pn.vg *.pushnews.eu *.smrk.io *.cachefly.net *.engagement.coremedia.cloud; img-src 'self' *.pn.vg *.pushnews.eu *.smrk.io *.cachefly.net *.engagement.coremedia.cloud; connect-src 'self' *.pn.vg *.pushnews.eu *.smrk.io *.cachefly.net *.engagement.coremedia.cloud
Mas o que significa cada um desses domínios do Pushnews?
*.pn.vg: domínio técnico do Pushnews, são alojadas tags específicas de cada cliente.
*.pushnews.eu: domínio técnico alternativo.
*.smrk.io: domínio técnico alternativo.
*.engagement.coremedia.cloud: domínio técnico alternativo.
*.cachefly.net: domínio técnico de CDN usada pelo Pushnews.