8710 sujets

Développement web côté serveur, CMS

Bonjour !

J'ai défini un CSP strict pour mon site en suivant toutefois les recommandations du site de Google pour ne pas avoir de conflits avec le reCaptcha v3, à voir ci-dessous :

upload/1610992439-82088-capture.png

Seulement voilà ça ne marche quand même pas. J'ai fait les vérifications, c'est bien le reCaptcha qui pose problème et c'est bien quand j'ajoute le CSP ci-dessous que ça plante :

Header set Content-Security-Policy: "default-src 'self' ; style-src 'self' ; script-src 'self' 'nonce-mon_nonce'  https://www.google.com/recaptcha/,   https://www.gstatic.com/recaptcha/  ; frame-src  https://www.google.com/recaptcha/,   https://recaptcha.google.com/recaptcha/  "


Je vous montre là où j'ai copié mon nonce :

<script nonce="mon_nonce" src="https://www.google.com/recaptcha/api.js?render=ma_clé"></script>


Merci pour la personne qui pourra me sÔver Smiley biggrin
Un réponse pour ceux qui auraient ce problème dans le futur :

Les url que Google donne pour frame-src sont un peu trop précis et ne prennent pas tout en compte, plutôt mettre https://www.google.com/ tout simplement.

Il faut mettre deux nonces (différents !) sur les 2 scripts que vous avez copié-collé dans votre page.

En espérant que ça serve à quelqu'un ! Smiley smile
Meilleure solution
Modérateur
Bien joué ! Et merci pour les précisions pour les prochains à avoir le soucis !
Bonne journée !