rutchyweb Posted December 12, 2023 Share Posted December 12, 2023 Bonjour à tous, Je souhaiterais savoir si quelqu'un a déjà eu l'occasion d'ajouter les en-têtes de sécurité sur htacces de prestashop. Je viens de l'ajouter mais rien ne change quand je check dans https://securityheaders.com/ comme le montre l'image ci-dessous. J'ai ajouter les en-têtes au début du fichier htaccess. Cordialement, Link to comment Share on other sites More sharing options...
Mediacom87 Posted December 12, 2023 Share Posted December 12, 2023 Bonjour, Ajoutez tout à la fin. https://www.mediacom87.fr/renforcer-la-securite-avec-les-en-tetes-x-security/ Link to comment Share on other sites More sharing options...
Mediacom87 Posted December 12, 2023 Share Posted December 12, 2023 Je vais devoir faire un nouvel article sur le sujet, car voici ce que j'utilise pour mes sites actuellement : # X-XSS-Protection <IfModule mod_headers.c> Header set X-Content-Type-Options "nosniff" Header set X-XSS-Protection "1; mode=block" Header set X-Frame-Options "SAMEORIGIN" Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" Header always set Referrer-Policy "strict-origin-when-cross-origin" Header always set Permissions-Policy "accelerometer=(self); ambient-light-sensor=(self); autoplay=(self); camera=(self); encrypted-media=(self); fullscreen=(self); geolocation=(self); gyroscope=(self); magnetometer=(self); microphone=(self); midi=(self); payment=(self); picture-in-picture=(*); speaker=(self); sync-xhr=(*); usb=(self); vr=(self);" Header always edit Set-Cookie (.*) "$1; HTTPOnly; Secure" Header set Connection keep-alive #Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self' data:; object-src 'none'; base-uri 'self'; frame-ancestors 'self'; form-action 'self'" </IfModule> et voici ce que j'obtiens : Link to comment Share on other sites More sharing options...
rutchyweb Posted December 13, 2023 Author Share Posted December 13, 2023 (edited) Bonjour @Mediacom87, Je ne comprends pas pourquoi ça ne change pas de mon côté, je pense que la modification sur htaccess n'est pas pris en compte. J'ai pensé au fait qu'on accède pas tout de suite à la boutique mais il faut se connecter avant, ou ça n'a rien avoir? Le lien au début est comme ceci https://nomdelaboutique/connexion Il faut un peu de temps pour que la modification soit pris en compte? Si vous avez une idée s'il vous plaît? Edited December 13, 2023 by rutchyweb (see edit history) Link to comment Share on other sites More sharing options...
Mediacom87 Posted December 13, 2023 Share Posted December 13, 2023 C'est instantané. Link to comment Share on other sites More sharing options...
rutchyweb Posted December 13, 2023 Author Share Posted December 13, 2023 ok ok, je vais essayer de voir pourquoi cela ne marche pas de mo côté. Sinon, pour le header security, il y a un autre moyne de l'intégrer sur le site à part le htaccess? A dispo, Link to comment Share on other sites More sharing options...
Mediacom87 Posted December 13, 2023 Share Posted December 13, 2023 il y a 7 minutes, rutchyweb a dit : ok ok, je vais essayer de voir pourquoi cela ne marche pas de mo côté. Je viens de tester, le mettre tout en bas ou tout en haut fonctionne parfaitement. Après Difficile de vous en dire plus, sauf peut-être que votre htaccess n'est pas pris en compte sur votre serveur. Link to comment Share on other sites More sharing options...
rutchyweb Posted December 13, 2023 Author Share Posted December 13, 2023 "peut-être que votre htaccess n'est pas pris en compte sur votre serveur." -> Je pense pas, car il y a d'autre configuration dans htaccess qui est bien pris en compte. Je vais vérifier quand même Link to comment Share on other sites More sharing options...
Mediacom87 Posted December 13, 2023 Share Posted December 13, 2023 Ou sinon le module testé n'est pas installé sur votre serveur. <IfModule mod_headers.c> Link to comment Share on other sites More sharing options...
rutchyweb Posted December 13, 2023 Author Share Posted December 13, 2023 Re, Vous avez une idée pour vérifier via un outils s'il vous plaît? Je n'ai pas vraiment la main sur le serveur. Je vais essayer de mettre une redirection sur le htaccess si cela marche pour tester que c'est bien pris en compte. A dispo, Link to comment Share on other sites More sharing options...
Mediacom87 Posted December 13, 2023 Share Posted December 13, 2023 Demandez à votre hébergeur. Link to comment Share on other sites More sharing options...
rutchyweb Posted December 13, 2023 Author Share Posted December 13, 2023 ok ok, merci pour votre aide. Link to comment Share on other sites More sharing options...
pit3d Posted December 19, 2023 Share Posted December 19, 2023 Bonjour, Mediacom87 avez-vous une idée pourquoi avec votre code il y a encore Content-Security-Policy en rouge ? Merci Link to comment Share on other sites More sharing options...
Mediacom87 Posted December 19, 2023 Share Posted December 19, 2023 il y a 35 minutes, pit3d a dit : Bonjour, Mediacom87 avez-vous une idée pourquoi avec votre code il y a encore Content-Security-Policy en rouge ? Merci Oui, parce que cela n'est pas traité. Link to comment Share on other sites More sharing options...
pit3d Posted December 19, 2023 Share Posted December 19, 2023 effectivement j'ai enlever # et c'est tout vert maintenant et enlever 'unsafe-inline' 'unsafe-eval' plus de warning. Merci pour l'aide. Link to comment Share on other sites More sharing options...
gouna Posted January 23, 2024 Share Posted January 23, 2024 Bonjour et merci pour cette liste ! Link to comment Share on other sites More sharing options...
.png.022b5452a8f28f552bc9430097a16da2.png)
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now