Logo Khaganat

Wikhan

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
fr:apache [2025/02/09 17:14] – [Module header] zatalyzfr:apache [2025/02/09 17:34] (Version actuelle) – [Content Security Policy (CSP)] Encore mieux zatalyz
Ligne 369: Ligne 369:
 # Faille spécifique IE8, on espère que plus personne ne l'utilise, mais... # Faille spécifique IE8, on espère que plus personne ne l'utilise, mais...
 Header set X-Download-Options noopen; Header set X-Download-Options noopen;
-# Interdire l'embarquement de tout ou partie de votre site dans un site ou logiciel tiers +# Interdire l'embarquement de tout ou partie du site dans un site ou logiciel tiers 
 Header set X-Permitted-Cross-Domain-Policies none Header set X-Permitted-Cross-Domain-Policies none
 +# Protège la vie privée en évitant de transmettre trop d'infos lorsqu'on naviguer vers une autre page.
 +Header set Referrer-Policy "strict-origin-when-cross-origin"
 # X-Clacks, ça sert à rien, c'est donc vital. # X-Clacks, ça sert à rien, c'est donc vital.
 header set X-Clacks-Overhead "GNU Terry Pratchett" header set X-Clacks-Overhead "GNU Terry Pratchett"
Ligne 408: Ligne 410:
   add_header Content-Security-Policy "default-src 'self' *.monsite.org 'unsafe-eval' 'unsafe-inline'; ";   add_header Content-Security-Policy "default-src 'self' *.monsite.org 'unsafe-eval' 'unsafe-inline'; ";
  
-Et voici une autre façon d'écrire les Content-Security-Policy, un peu plus "lisible" (et commentée((En vrai je pense qu'il faut enlever les commentaires entre les guillemets.)) !). Cela couvre des besoins normaux de façon relativement sécurisée, mais comme on l'a vu, il faudra adapter aux pads, à OnlyOffice...+Et voici une autre façon d'écrire les Content-Security-Policy, un peu plus "lisible". Cela couvre des besoins normaux de façon relativement sécurisée, mais comme on l'a vu, il faudra adapter aux pads, à OnlyOffice...
 <code> <code>
 Header set Content-Security-Policy " Header set Content-Security-Policy "
-  # Tout provient du même domaine sauf mention contraire. 
   default-src 'self';   default-src 'self';
-  ## Les scripts +  script-src 'self';  
-    # Permet les scripts inline et eval(), nécessaires pour certaines applications. +  style-src 'self';
-    # script-src 'self' 'unsafe-inline' 'unsafe-eval'; +
-    # Cette version est sécurisée mais... ben potentiellement certaines applis ne fonctionneront pas +
-    # Celles avec des potentielles failles :P +
-    script-src 'self'; +
-    # L'usage de Hashes et Nonces serait idéale mais avec les cms, c'est compliqué. +
-  # Permet les styles inline. +
-    # Pour faire marcher les sites mal branlés (style dans le html) +
-    #style-src 'self' 'unsafe-inline'; +
-    # Sinon :  +
-    style-src 'self'; +
-  # Autorise les images venant du même domaine et de certaines sources externes via https.+
   img-src 'self' https: ;   img-src 'self' https: ;
-  # Autorise les polices venant du même domaine. 
   font-src 'self';   font-src 'self';
-  # Permet les connexions vers des ressources externes suivantes 
   connect-src 'self' https://bosh.jabberfr.org/ *.numenaute.org;   connect-src 'self' https://bosh.jabberfr.org/ *.numenaute.org;
-  # Autorise l'encadrement (frames) par certains domaines 
   frame-src https://chat.jabberfr.org/ *.numenaute.org/;   frame-src https://chat.jabberfr.org/ *.numenaute.org/;
-  # Limite l'utilisation des éléments <object>, <embed>, et <applet> dans les pages à notre domaine. 
   object-src 'self';   object-src 'self';
-  # Interdit les soumissions de formulaire et le changement de base URL depuis un autre domaine. 
   base-uri 'self';   base-uri 'self';
   form-action 'self';   form-action 'self';
-  # Empêche le site d'être chargé dans un iframe 
   frame-ancestors 'none';   frame-ancestors 'none';
 " "
 </code> </code>
 +Ces règles sont un compromis entre "fonctionnel" et "sécurisé" (avec quelques suggestions de "quoi mettre d'autre") :  
 +  * ''default-src 'self';''Tout provient du même domaine sauf mention contraire. 
 +  * Les scripts, au choix... 
 +    * ''script-src 'self' 'unsafe-inline' 'unsafe-eval';'' Permet les scripts inline et eval(), nécessaires pour certaines applications. 
 +    * ''script-src 'self';'' Cette version est sécurisée mais... ben potentiellement certaines applis ne fonctionneront pas. Celles avec des potentielles failles :P 
 +    * L'usage de Hashes et Nonces serait idéale mais avec les cms, c'est compliqué. 
 +  * ''style-src 'self';'' Permet les styles inline. 
 +    * ''style-src 'self' 'unsafe-inline';'' Pour faire marcher les sites mal branlés (style dans le html) 
 +  * ''img-src 'self' https: ;'' Autorise les images venant du même domaine et de certaines sources externes via https. 
 +  * ''font-src 'self';'' Autorise les polices venant du même domaine. 
 +  * ''connect-src 'self' https://bosh.jabberfr.org/ *.numenaute.org;'' Permet les connexions vers des ressources externes indiquées 
 +  * ''frame-src https://chat.jabberfr.org/ *.numenaute.org/;'' Autorise l'encadrement (frames) par certains domaines 
 +  * ''object-src 'self';'' Limite l'utilisation des éléments <object>, <embed>, et <applet> dans les pages à notre domaine. 
 +  * ''base-uri 'self';'' et ''form-action 'self';'' Interdit les soumissions de formulaire et le changement de base URL depuis un autre domaine. 
 +  * ''frame-ancestors 'none';'' Empêche le site d'être chargé dans un iframe 
 + 
  
 ==== Activer la réécriture des URLs ==== ==== Activer la réécriture des URLs ====
CC Attribution-Share Alike 4.0 International Driven by DokuWiki
fr/apache.1739121253.txt.gz · Dernière modification : 2025/02/09 17:14 de zatalyz
Licences Mentions légales Accueil du site Contact