CSP édition du contenu en front end

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • CSP édition du contenu en front end

    J'ai remarqué que avec ma CSP, l'éditeur des articles en front-end ne me permettait pas d'avoir un rendu wysiwyg.
    J'ai du ajouter la règle 'unsafe-eval' qui semble encore moins conseillée que 'unsafe-inline'.

    Header set Content-Security-Policy: "script-src 'self' 'unsafe-eval' 'unsafe-inline';"

    Est ce du à mon template spécifique ?

    Si quelqu'un utilise un template par défaut de Joomla, pouvez vous confirmer que avec avec une CSP en self uniquement, ou en self + unsafe-inline , le rendu wysiwyg fonctionne ?
    Ou bien, faut t'il impérativement ajouter unsafe-eval pour l'édition des articles en front, pour obtenir le rendu visuel ?

    Si cela est du à mon propre template, c'est à eux de faire le nécessaire pour ne pas utiliser eval.
    Si cela est du à Joomla, il semble qu'il faudrait améliorer ça et se passer de eval.

    Merci de votre avis.

  • #2
    Bonjour,

    Je viens de tester avec TinyMCE et JCE sans 'unsafe-eval' et je n'ai pas d'erreur particulière; En fait, j'en avais une mais c'était lié au captcha, mais, c'est un autre débat.

    Par contre, difficile de se passer du 'unsafe-inline' dans de script-src à cause de mon template pour l'instant.

    Pascal
    ZerooCool aime ceci.
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Bonjour,

      Ok merci de m'avoir fais ce retour, j'utilise TinyMCE.
      Je peux donc en déduire que c'est le template qui est sûrement le responsable de l'affichage, pour l'édition du front end, qui m'impose d'utiliser unsafe-eval.

      J'ai lu que eval peut être intéressant pour des raisons de performances, mais, pas pour la sécurité.
      Vu.
      Dernière édition par ZerooCool à 07/02/2019, 14h55

      Commentaire

      Annonce

      Réduire
      Aucune annonce pour le moment.

      Partenaire de l'association

      Réduire

      Hébergeur Web PlanetHoster
      Travaille ...
      X