Content Security Policy
script-src
Support Général
Visiteur
Boosteur Inactif
J'ai remarqué que l'utilisation de l'en-tête HTTP Content-Security-Policy au niveau des scripts n'était pas possible si on souhaite rester sur des paramètres recommandés. En effet, voici mon en-tête actuel :
Code BASH :
add_header Content-Security-Policy "default-src 'none'; script-src 'strict-dynamic' 'nonce-rAnd0m123'; connect-src 'self'; img-src 'self'; style-src 'self' 'unsafe-inline'; font-src 'self'; frame-ancestors 'self'; base-uri 'self'; form-action 'self'";
Site d'évaluation : https://csp-evaluator.withgoogle.com
Et voici le résultat dans la console Firefox sur la page d'accueil :
Si j'ai bien compris le principe du nonce, la résolution est "simple". Il suffit d'ajouter un paramètre dans les balises appelant les scripts, comme par exemple :
Libre à vous de déterminer le terme que vous souhaitez et le communiquer à ceux mettant en place cet en-tête.
J'essaye actuellement d'effectuer cette modification moi-même, mais j'ai du mal à déterminer l'emplacement des fichiers où se situent les différents appels de script et je suis conscient qu'il doit y en avoir un paquet. Si, éventuellement, au sein de l'équipe vous auriez une telle liste ?
En vous remerciant d'avance pour votre assistance sur ce sujet et longue vie à ce fabuleux CMS !
Édité par Visiteur Le 03/02/2019 à 19h00
Visiteur
Boosteur Inactif
Toujours au niveau de script-src, le reste n'entraine pas de warning : <a href="https://securityheaders.com/?q=ttclub.fr&followRedirects=on">https://securityheaders.com/?q=ttclub.fr&followRedirects=on</a>
j1.seth Membre non connecté
- Administrateur
- Voir le profil du membre j1.seth
- Inscrit le : 01/09/2008
- Site internet
- Groupes :
- Chef de Projet
- Equipe Développement
Je vais regarder ça.
j1.seth
Visiteur
Boosteur Inactif
Merci d'avance en tout cas j1.seth !
j1.seth Membre non connecté
- Administrateur
- Voir le profil du membre j1.seth
- Inscrit le : 01/09/2008
- Site internet
- Groupes :
- Chef de Projet
- Equipe Développement
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie