Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:apache [2025/02/09 17:21] – [Module header] zatalyz
+++ fr:apache [2025/02/09 17:34] (Version actuelle) – [Content Security Policy (CSP)] Encore mieux zatalyz
@@ Ligne 410: / Ligne 410: @@
   add_header Content-Security-Policy "default-src 'self' *.monsite.org 'unsafe-eval' 'unsafe-inline'; ";
-Et voici une autre façon d'écrire les Content-Security-Policy, un peu plus "lisible" (et commentée((En vrai je pense qu'il faut enlever les commentaires entre les guillemets.)) !). Cela couvre des besoins normaux de façon relativement sécurisée, mais comme on l'a vu, il faudra adapter aux pads, à OnlyOffice...
+Et voici une autre façon d'écrire les Content-Security-Policy, un peu plus "lisible". Cela couvre des besoins normaux de façon relativement sécurisée, mais comme on l'a vu, il faudra adapter aux pads, à OnlyOffice...
 <code>
 Header set Content-Security-Policy "
-  # Tout provient du même domaine sauf mention contraire.
   default-src 'self';
-  ## Les scripts
+  script-src 'self';
-    # Permet les scripts inline et eval(), nécessaires pour certaines applications.
+  style-src 'self';
-    # script-src 'self' 'unsafe-inline' 'unsafe-eval';
-    # Cette version est sécurisée mais... ben potentiellement certaines applis ne fonctionneront pas
-    # Celles avec des potentielles failles :P
-    script-src 'self';
-    # L'usage de Hashes et Nonces serait idéale mais avec les cms, c'est compliqué.
-  # Permet les styles inline.
-    # Pour faire marcher les sites mal branlés (style dans le html)
-    #style-src 'self' 'unsafe-inline';
-    # Sinon :
-    style-src 'self';
-  # Autorise les images venant du même domaine et de certaines sources externes via https.
   img-src 'self' https: ;
-  # Autorise les polices venant du même domaine.
   font-src 'self';
-  # Permet les connexions vers des ressources externes suivantes
   connect-src 'self' https://bosh.jabberfr.org/ *.numenaute.org;
-  # Autorise l'encadrement (frames) par certains domaines
   frame-src https://chat.jabberfr.org/ *.numenaute.org/;
-  # Limite l'utilisation des éléments <object>, <embed>, et <applet> dans les pages à notre domaine.
   object-src 'self';
-  # Interdit les soumissions de formulaire et le changement de base URL depuis un autre domaine.
   base-uri 'self';
   form-action 'self';
-  # Empêche le site d'être chargé dans un iframe
   frame-ancestors 'none';
 "
 </code>
+Ces règles sont un compromis entre "fonctionnel" et "sécurisé" (avec quelques suggestions de "quoi mettre d'autre") :
+  * ''default-src 'self';''Tout provient du même domaine sauf mention contraire.
+  * Les scripts, au choix...
+    * ''script-src 'self' 'unsafe-inline' 'unsafe-eval';'' Permet les scripts inline et eval(), nécessaires pour certaines applications.
+    * ''script-src 'self';'' Cette version est sécurisée mais... ben potentiellement certaines applis ne fonctionneront pas. Celles avec des potentielles failles :P
+    * L'usage de Hashes et Nonces serait idéale mais avec les cms, c'est compliqué.
+  * ''style-src 'self';'' Permet les styles inline.
+    * ''style-src 'self' 'unsafe-inline';'' Pour faire marcher les sites mal branlés (style dans le html)
+  * ''img-src 'self' https: ;'' Autorise les images venant du même domaine et de certaines sources externes via https.
+  * ''font-src 'self';'' Autorise les polices venant du même domaine.
+  * ''connect-src 'self' https://bosh.jabberfr.org/ *.numenaute.org;'' Permet les connexions vers des ressources externes indiquées
+  * ''frame-src https://chat.jabberfr.org/ *.numenaute.org/;'' Autorise l'encadrement (frames) par certains domaines
+  * ''object-src 'self';'' Limite l'utilisation des éléments <object>, <embed>, et <applet> dans les pages à notre domaine.
+  * ''base-uri 'self';'' et ''form-action 'self';'' Interdit les soumissions de formulaire et le changement de base URL depuis un autre domaine.
+  * ''frame-ancestors 'none';'' Empêche le site d'être chargé dans un iframe
 ==== Activer la réécriture des URLs ====