CSP : Content Security Policies

On y discute de tout, ou presque...
Répondre
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Contacter PengouinPdt
Status : Hors-ligne

Est-ce qu'il y en a parmi nous qui se sont collés à la gestion des "CSP" ?

Pour ceux qui ne connaissent pas :

- http://content-security-policy.com/
- https://hacks.mozilla.org/2016/02/imple ... ty-policy/

Pour mon "renouveau" site d'écrits, j'essaye des les implémenter, pour nginx, telle que :

Code : Tout sélectionner

add_header Content-Security-Policy "default-src 'self'; font-src 'self' https://fonts.googleapis.com ; form-action 'self'; frame-ancestors 'self'; img-src 'self'; sandbox allow-same-origin; script-src 'self' https://cdnjs.cloudflare.com https://netdna.bootstrapcdn.com; style-src 'self' https://cdnjs.cloudflare.com;" always;
Sans, j'ai bien mon image de fond qui s'affiche, et le site récupère bien les différentes scripts css, js, dont il a besoin !
Avec ... c'est quasiment page blanche ! Booo ...
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Haut
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Contacter PengouinPdt
Status : Hors-ligne

Bien que ne sachant pas si le sujet intéresse ... je relance en ajoutant la solution que j'ai enfin trouvée :

Code : Tout sélectionner

Content-Security-Policy: base-uri *://ecrits.stephane-huc.net; default-src 'self'; font-src 'self' fonts.googleapis.com ; img-src 'self'; script-src 'self' cdnjs.cloudflare.com  netdna.bootstrapcdn.com; style-src 'self' cdnjs.cloudflare.com;
Cela semble fonctionner ! :p
Mais pas complétement ...

:D
----

Ahahhh, on arrive vraiment à un ensemble effectif ... à un détail près, maxcdn.bootstrapcdn.com qui ne semble pas répondre :

Code : Tout sélectionner

Content-Security-Policy: base-uri *://ecrits.stephane-huc.net; default-src 'self'; font-src 'self' fonts.googleapis.com  fonts.gstatic.com ; img-src 'self'; script-src 'self' cdnjs.cloudflare.com  https://maxcdn.bootstrapcdn.com ; style-src 'self' https://maxcdn.bootstrapcdn.com cdnjs.cloudflare.com fonts.googleapis.com ;
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Haut
Avatar de l’utilisateur
Arnaud
Membre
Membre
Messages : 162
Inscription : 23 avr. 2016, 14:31
Localisation : Allemagne
Status : Hors-ligne

Merci pour le rappel, faudra que je le fasse aussi.
Haut
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Contacter PengouinPdt
Status : Hors-ligne

@arnaud: c'est chaud, à trouver le bon équilibre ! pfff ... j'espère sincèrement que cela apporte vraiment la "sécurité" relative sensée lui apporter ! :p
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Haut
Répondre

Revenir à « Pause café »