axel31 Posted July 18, 2016 Share Posted July 18, 2016 (edited) Bonjour, Je souhaiterais définir une Content-Security-Policy sur mon site, mais je ne sais pas très bien comment faire. En écrivant dans mon htaccess Header set Content-Security-Policy "default-src 'self'; Tout le javascript du site est neutralisé. Je pensais pourtant avoir compris que 'self' et default-src autorisait les exécutions de javascript venant du même serveur (en l'occurence localhost pour mes tests). Quelqu'un a déjà réussi ? Merci Edited July 18, 2016 by axel31 (see edit history) Link to comment Share on other sites More sharing options...
doekia Posted July 18, 2016 Share Posted July 18, 2016 100% de ceux pour qui ça marche n'ont pas d'erreur de syntaxe eux Déja sans faute de frappe ça a plus de chance de marcher Header set Content-Security-Policy "default-src 'self'"; Ensuite il te faut le module headers d'actif Et ça ne marche pas sur tous les navigateurs. 1 Link to comment Share on other sites More sharing options...
axel31 Posted July 18, 2016 Author Share Posted July 18, 2016 Merci du retour. J'ai bien la fermeture des guillemets dans mon code, mais après le point virgule ; j'avais simplement oublié de la coller dans mon précédent post. Voici ma ligne complète : Header set Content-Security-Policy "default-src 'self' ; " Je l'ai trouvé ici : https://content-security-policy.com Il y a une erreur de frappe là-dedans ??? Par ailleurs le ocde marche en partie car si j'ajoute apis.google.com dans la ligne je récupère le badge googleplus... Donc le module Headers est actif et mon navigateur accepte ce code non ? En fait je ne comprends pas pourquoi tout le javascript venant du site est bloqué, c'est comme si 'self' ne marchait pas... Link to comment Share on other sites More sharing options...
doekia Posted July 18, 2016 Share Posted July 18, 2016 (edited) Comme toujours fournir une url pour avoir une réponse intelligente Edited July 18, 2016 by doekia (see edit history) Link to comment Share on other sites More sharing options...
axel31 Posted July 18, 2016 Author Share Posted July 18, 2016 (edited) En fait pour éviter de perturber le site, je fais des test en local. L'url sur laquelle je travaille est donc en localhost... Mais j'ai testé rapidement sur le site en ligne le problème est le même (je l'ai ensuite remis le htaccess de départ sans csp) Edited October 4, 2016 by axel31 (see edit history) Link to comment Share on other sites More sharing options...
doekia Posted July 18, 2016 Share Posted July 18, 2016 <IfModule mod_headers.c> Header set Content-Security-Policy "default-src 'unsafe-inline' 'unsafe-eval' 'self' *.googleapis.com *.gstatic.com;" </IfModule> Dans le cas d'un thème default-bootstrap de Prestashop Testable dans mon store par exemple: https://store.enter-solutions.com/fr/18-services 2 Link to comment Share on other sites More sharing options...
axel31 Posted July 18, 2016 Author Share Posted July 18, 2016 Super, merci pour le coup de pouce. Effectivement avec votre code le javascript réapparaît. Par contre, question de béotien, l'utilisation de unsafe-inline et unsafe-eval ne réduit-elle pas grandement l'utilité décrire une content security policy ? C'est ce que j'avais cru comprendre ici : http://www.html5rocks.com/en/tutorials/security/content-security-policy/ Link to comment Share on other sites More sharing options...
doekia Posted July 18, 2016 Share Posted July 18, 2016 Dans la mesure ou de nombreuses portions de js sont nativement inline tu n'as pas le choix Outre que le CSP est d'une protection "a mon sens" très limitée Link to comment Share on other sites More sharing options...
axel31 Posted July 18, 2016 Author Share Posted July 18, 2016 Ok, c'est bien ce que je pressentais, Prestashop est construit de telle manière que csp est difficile à utiliser. Sinon ce serait déjà présent en natif ou en module sur addons... Merci pour les conseils Link to comment Share on other sites More sharing options...
doekia Posted July 18, 2016 Share Posted July 18, 2016 En même temps dans 99% des cas les hacks n'ont pas js (du serveur) pour origine sauf si tu intègres des thêmes/modules foireux Link to comment Share on other sites More sharing options...
axel31 Posted July 18, 2016 Author Share Posted July 18, 2016 Votre retour est intéressant car Dareboost semble en faire une priorité... Quel est le point faible le plus "prisé" ? Link to comment Share on other sites More sharing options...
doekia Posted July 19, 2016 Share Posted July 19, 2016 (edited) Je ne veux pas répondre à cette question, d'autant dans la conjoncture du moment mais, il ne faut pas confondre des outils génériques de bilans +/- quelconque avec des compétences en sécurité ou autre d'ailleurs ... Essai www.google.com dans ton Dareboost - ouille ce site n'est pas prémuni des attaques XSS, oups cookies non sécurisé, aie ... On dirait bien que ce site va bientôt se retrouver totalement hacké ... Edited July 19, 2016 by doekia (see edit history) 2 Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now