8768 sujets

Développement web côté serveur, CMS

[Résolu] Csp

Pages :
(reprise du message précédent)

Salut,
fais attention, si tu suis mes échanges avec Olivier sur ce forum et en rapport avec le problème sur mes lecteurs audio, tu verra que mes règles CSP interfèrent avec mes lecteurs audio en JS.
J'ai viré les règles CSP du htaccess pour le moment, avant de tout reprendre au début.
j'ai pu enlever le unsafe sur le css
çà bloquait parce qu'il y avait qq lignes de style dans la balise style dans la page html

donc maintenant ca marche avec style font img

<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; style-src 'self'; script-src 'self' 'unsafe-inline'; font-src 'self'; img-src 'self';"
</IfModule>

reste le js
Salut,

j'ai remis le CSP sur mon site, après avoir trouvé celui qui bloquait l'audio JavaScript.
C'était la directive suivante "require-trusted-types-for 'script'"
J'ai été obligé de garder "style-src 'self' 'unsafe-inline'". J'ai en effet du css inline un peu difficile à mettre dans le fichier css, même si ce n'est pas impossible.
Peut-être avec un peu de courage...
drphilgood a écrit :
merci karamau, c'est bien ce que je commencait à vaguement comprendre.

C'est ce que j'avais dit dans l'un de mes premiers posts Smiley cligne
voila la derni§re version
maintenant tout fonctionne: style font img script


# csp
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; style-src 'self'; script-src 'self' flaghit.com; font-src 'self'; img-src 'self' flaghit.com;"
</IfModule>

merci a+
ma derniere version du CSP
j'ai fait des retours a la ligne pour la clarté

<IfModule mod_headers.c>
Header set Content-Security-Policy "
default-src 'self'data: ;
script-src 'self' domaine.be 'unsafe-inline' 'unsafe-eval' ;
style-src 'self' domaine.be 'unsafe-inline' data: ;
font-src 'self' ;
img-src 'self' ;
frame-ancestors 'none' ;
base-uri 'self' ; form-action 'self';"
</IfModule>
Prévenir un modérateur
Pages :
Répondre au sujet
Aller à