Jump to content

[Résolu] Content Security Policy


Recommended Posts

Bonjour,

Je souhaiterais définir une Content-Security-Policy sur mon site, mais je ne sais pas très bien comment faire. En écrivant dans mon htaccess

    Header set Content-Security-Policy "default-src 'self';

Tout le javascript du site est neutralisé. Je pensais pourtant avoir compris que 'self' et default-src autorisait les exécutions de javascript venant du même serveur (en l'occurence localhost pour mes tests).

Quelqu'un a déjà réussi ?

Merci

Edited by axel31 (see edit history)
Link to comment
Share on other sites

100% de ceux pour qui ça marche n'ont pas d'erreur de syntaxe eux

Déja sans faute de frappe ça a plus de chance de marcher

Header set Content-Security-Policy "default-src 'self'";

Ensuite il te faut le module headers d'actif

Et ça ne marche pas sur tous les navigateurs.

  • Like 1
Link to comment
Share on other sites

Merci du retour.

J'ai bien la fermeture des guillemets dans mon code, mais après le point virgule ; j'avais simplement oublié de la coller dans mon précédent post. Voici ma ligne complète :

  Header set Content-Security-Policy "default-src 'self' ; "

Je l'ai trouvé ici : https://content-security-policy.com

Il y a une erreur de frappe là-dedans ???

 

Par ailleurs le ocde marche en partie car si j'ajoute

   apis.google.com 

dans la ligne je récupère le badge googleplus... Donc le module Headers est actif et mon navigateur accepte ce code non ?

 

En fait je ne comprends pas pourquoi tout le javascript venant du site est bloqué, c'est comme si 'self' ne marchait pas...

Link to comment
Share on other sites

En fait pour éviter de perturber le site, je fais des test en local. L'url sur laquelle je travaille est donc en localhost...

 

Mais j'ai testé rapidement sur le site en ligne le problème est le même (je l'ai ensuite remis le htaccess de départ sans csp)

Edited by axel31 (see edit history)
Link to comment
Share on other sites

Super, merci pour le coup de pouce.

 

Effectivement avec votre code le javascript réapparaît. Par contre, question de béotien, l'utilisation de unsafe-inline et unsafe-eval ne réduit-elle pas grandement l'utilité décrire une content security policy ? C'est ce que j'avais cru comprendre ici : http://www.html5rocks.com/en/tutorials/security/content-security-policy/

Link to comment
Share on other sites

Ok, c'est bien ce que je pressentais, Prestashop est construit de telle manière que csp est difficile à utiliser. Sinon ce serait déjà présent en natif ou en module sur addons...

 

Merci pour les conseils

Link to comment
Share on other sites

Je ne veux pas répondre à cette question, d'autant dans la conjoncture du moment mais,

 

il ne faut pas confondre des outils génériques de bilans +/- quelconque avec des compétences en sécurité ou autre d'ailleurs ...

Essai www.google.com dans ton Dareboost - ouille ce site n'est pas prémuni des attaques XSS, oups cookies non sécurisé, aie ...

On dirait bien que ce site va bientôt se retrouver totalement hacké ...

Edited by doekia (see edit history)
  • Like 2
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...