Balise meta Content-Security-Policy et validation W3C

Bonjour,
Je rencontre un petit problème dans la génération d'une balise <meta> fixant les règles de sécurité pour une page.
Le valideur HTML5 du W3C me retourne le message suivant :

Bad value content-security-policy for attribute http-equiv on element meta

Pour une balise rédigée comme suit :

<meta http-equiv="content-security-policy" content="script-src 'self'; object-src 'none'"/>

Le plus marrant c'est que la valeur passée pour le paramètre "content" a été directement recopiée depuis la documentation en ligne sur ce type de balise (http://w3c.github.io/webappsec-csp/#meta-element)..
Le message demeure, y compris après avoir remplacé les apostrophes de la valeur par les entités HTML équivalentes.
J'ai fais une recherche sur le forum mais le nombre de résultats retourné est trop important, les trois mots de la balise étant pris en compte séparément, même après les avoir entourés de guillemets.
Quelqu'un a-t-il déjà rencontré ce problème et, si oui, quelle a été la solution ?
Merci d'avance.

Bonjour,

Je suis en train d'étudier l'implantation du CSP, si tu veux être valide tu peux tenter de passer par un .htaccess
comme ici : https://walterebert.com/blog/using-csp-wordpress/

Bonjour,
Je ne prends connaissance de ta réponse qu'aujourd'hui...
Merci en tout cas de ton message.
A priori, la question reste en suspens car je n'utiliserai pas de CMS. Mon projet consiste en un générateur HTML sérialisant un source collant au plus près aux normes et bonnes pratiques, ce qui implique, a minima, un passage OK via les validateurs W3C.
Or la balise <meta> associée au CSP passe mal cette validation, même si elle est citée dans les spécifications HTML comme compatible avec HTML5.
Plus je creuse pour rédiger les algos du générateur et plus il me semble (mais je peux me tromper) que des tas de choix sont à faire entre passer la validation W3C ou inclure des balises à finalité SEO / réseaux sociaux.
.

Bonjour sepecat,
Vous utiliser par HTML/CSS ou le CMS

Pour être exact, mon problème ne se situe pas tant au niveau de la façon de déclarer l'environnement CSP dans la page, mais plutôt sur le fait que la balise <meta> correspondante ne passe pas la validation W3C.
Sachant que :
a) le contexte = générateur de pages HTML écrit en Java
b) le moteur de sérialisation pourra générer une page HTML statique et/ou une page en PHP, en JSP, etc.
Lorsque je génére une page statique HTML, comportant la fameuse balise :
<meta http-equiv="content-security-policy" content="script-src 'self'; object-src 'none'"/>
et que j'envoie le source sur le validateur W3C, bin ça passe pas...
L'objectifs du générateur étant :
a) de sérialiser du code le plus compact possible
b) d'assurer la conformation maximum dudit code par rapport aux spécifications HTML (différents doctypes), accessibilité, etc.
Cette balise rend le résultat non conforme aux besoins exprimés.
Au pire de vais intégrer une propriété dans le générateur permettant d'activer / désactiver la configuration CSP lors de la sérialisation, ce qui permettra de décider si on accepte ou non une validité partielle par rapport à l'analyseur du W3C.
Merci en tout cas pour vos différentes réponses.
Modifié par sepecat (06 Dec 2015 - 12:59)