Bonjour,
Pas sûr que je sois au bon endroit pour les questions de sécurité, mais je n'ai pas trouvé mieux. Je n'ai pas non plus trouvé réponse à ma question sur le forum, donc je tente ici :
Le site site-analyzer.com (je ne sais pas ce que ça vaut, mais j'utilise ça pour avoir une aperçu de la qualité d'une page) me recommande d'utiliser un en-tête Content Security Policy pour limiter l'accès aux ressources chargées dynamiquement et réduire les risques XSS.
Quelqu'un connait-il une méthode pour autoriser les ressources habituelles nécessaires à la majorité des sites : widgets Facebook, Twitter, Embed Youtube, et tout ce qui va avec...
Pour l'instant, je les autorise une à une, en fonction des erreurs que me retourne la console. Mais il me reste quelques ressources bloquées de ci de là, qui n'ont pas l'air de nuire à la navigation sur le site.
Mon header actuel est (spécifié en php):
Les widgets utilisés sont :
Facebook - bouton Like
Twitter - bouton Follow
Deezer - player
Youtube - player
Google Analytics
Google jquery api
Google fonts
Merci pour votre aide
Pas sûr que je sois au bon endroit pour les questions de sécurité, mais je n'ai pas trouvé mieux. Je n'ai pas non plus trouvé réponse à ma question sur le forum, donc je tente ici :
Le site site-analyzer.com (je ne sais pas ce que ça vaut, mais j'utilise ça pour avoir une aperçu de la qualité d'une page) me recommande d'utiliser un en-tête Content Security Policy pour limiter l'accès aux ressources chargées dynamiquement et réduire les risques XSS.
Quelqu'un connait-il une méthode pour autoriser les ressources habituelles nécessaires à la majorité des sites : widgets Facebook, Twitter, Embed Youtube, et tout ce qui va avec...
Pour l'instant, je les autorise une à une, en fonction des erreurs que me retourne la console. Mais il me reste quelques ressources bloquées de ci de là, qui n'ont pas l'air de nuire à la navigation sur le site.
Mon header actuel est (spécifié en php):
Content-Security-Policy: default-src 'self' 'unsafe-inline' www.google-analytics.com ajax.googleapis.com fonts.googleapis.com fonts.gstatic.com e-cdn-files.deezer.com www.deezer.com www.youtube.com cdnjs.cloudflare.com connect.facebook.net www.facebook.com staticxx.facebook.com platform.twitter.com syndication.twitter.com;Les widgets utilisés sont :
Facebook - bouton Like
Twitter - bouton Follow
Deezer - player
Youtube - player
Google Analytics
Google jquery api
Google fonts
Merci pour votre aide