[Résolu] Csp

bonjour
quand je met ces instructions csp dans mon fichier htaccess mon site est bloqué

<ifModule mod_headers.c>
default-src 'self'; 
style-src 'self' 'unsafe-inline'; 
script-src 'self' 'unsafe-inline'; 
font-src 'self' 'unsafe-inline'; 
img-src 'self' 'unsafe-inline'; 
img-src 'self' flaghit.com
</IfModule>

qqun sait pourquoi ?
merci
Modifié par drphilgood (18 Dec 2023 - 23:49)

Bonjour,

Il faut regarder le message en console.

En principe, il y a un message d'erreur précisant la raison du blocage CSP.

Bonjour,
ton site est bloqué avec une erreur 500 ?
Tu dois ajouter Header set Content-Security-Policy avant les directives, séparées elles-même par des ; Et l'ensemble des directives doit être "encadré" par des ""

<IfModule mod_headers.c>
    Header set Content-Security-Policy "default-src 'self'; les_autres_directives"

Mis à part ça, si tu fais un CSP et que tu mets des unsafe-inline partout, ça ne sert pas à grand chose. Le unsafe-inline est à utiliser avec parcimonie, une fois à la rigueur, mais c'est une faille.
Modifié par Bongota (19 Dec 2023 - 08:46)

bonjour
si j'enlève les unsafe rien ne fonctionne
Modifié par drphilgood (19 Dec 2023 - 10:49)

Pour l'image externe, je crois qu'il faut bien indiquer le chemin complet du site où sont les images. Chez moi, pour une vidéo :

media-src 'self'  https://mesvideos.b-cdn.net;

Et mes vidéos ne sont pas bloquées.
Qu'entends-tu par "mes scripts internes" ? Le JavaScript dans le html ou du style inline ?

drphilgood a écrit :
bonjour
si j'enlève les unsafe rien ne fonctionne

Ton message est arrivé entre temps. Le CSP est un peu complexe, si ça ne fonctionne pas, il faut reprendre avec une seule directive et voir. Sinon, obligé de revoir les docs, c'est un peu pénible, mais ce n'est pas commun, on ne s'en sert pas tous les jours.
Le unsafe-inline n'est nécessaire que si on a du JavaScript dans le html et/ou du style au milieu de ce html
Modifié par Bongota (19 Dec 2023 - 11:02)

merci bongota çà commence à s'éclaircir

mes script se trouvent dans mon serveur, pas de sources externes
c'est un peu obscur le csp
Modifié par drphilgood (19 Dec 2023 - 11:04)

mais est-ce nécessaire pour un site perso, je ne suis pas la banque d'angleterre.

Ce qui est surtout obscur, c'est aussi le fait qu'on ne sait pas si ça fonctionne correctement tant que le site n'a pas été attaqué. Il y a quand même des sites de test, afin de vérifier si la politique CSP est conforme, sans erreurs.
Se rajoute la configuration du htaccess, très pointilleux sur la moindre erreur.
J'ai retrouvé deux liens. Le premier permet de tester directement ton CSP. Le second, ce sont des scripts à installer.
https://csp-evaluator.withgoogle.com/
https://content-security-policy.com/browser-test/
Voici le résultat du test sur mon site. Tout est bon sauf un point, dont j'ai ouvert les explications et que je dois corriger.

Modifié par Bongota (19 Dec 2023 - 11:27)

merci bongota je zieute çà
bonne journée

drphilgood a écrit :
mais est-ce nécessaire pour un site perso, je ne suis pas la banque d'angleterre.

La banque d'Angleterre n'est pas forcément mieux au point que nous tous
Sans doute pour nos petits sites, ce n'est pas une urgence. Moi je l'ai étudié et mis en place afin d'apprendre. Mais ça peut quand même servir un jour, les situations d'attaques de sites se voient de plus en plus. Et justement, certains hakers/crakers s'entraînent sur des petits sites non protégés avant de passer à l'action sur la banque d'Angleterre

tu a raison, je vais approfondir le sujet.

j'ai essayé de corrigé ton htaccess : test et dit nous :

<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline'; font-src 'self' 'unsafe-inline'; img-src 'self' flaghit.com;"
</IfModule>

j'ai çà pour le moment
j'ai supprimé l'image flaghit
j'ai pu enlever le unsafe sur la font

<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline'; font-src 'self'; img-src 'self' 'unsafe-inline';"
</IfModule>

comme çà tout fonctionne

merci jencal

Ok cool,
ce qui ma tiquer, c'est que tu ouvrais une balise <ifModule> et que tu fermais une <iFModule>
différence de majuscule

J'avais remarqué ça. J'ai cherché, cherché, pas moyen de trouver sur les docs si le code du htaccess est sensible à la casse. Je viens de tenter sur mon site avec iFModule, et IfModule en tête; ça n'a rien changé. Jusqu'à preuve du contraire, ce n'est pas sensible à la casse, mais jusqu'où ?
(J'ai bien vidé mon cache chaque fois).
Modifié par Bongota (20 Dec 2023 - 13:36)

mise a jour

bonjour
j'ai pu enlever le unsafe pour les img et font: OK

je m'attaque au js et css

Merci pour ton post du 18/12, qui a relancé mon intérêt pour ça.
J'ai déporté tout mon JavaScript sur un fichier séparé et je n'ai plus l'avertissement rouge concernant "script".
On continue, si tu as des questions auxquelles je pourrai répondre.

Salut,
fais attention, si tu suis mes échanges avec Olivier sur ce forum et en rapport avec le problème sur mes lecteurs audio, tu verra que mes règles CSP interfèrent avec mes lecteurs audio en JS.
J'ai viré les règles CSP du htaccess pour le moment, avant de tout reprendre au début.