Content Security Policy provoque bug

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Content Security Policy provoque bug

    Bonjour,
    impossible d'ajouter une Content Security Policy à mon .htaccess, ça provoque un bug bizarre : plus aucun bouton ne fonctionne dans l'administration Joomla de mon site...
    Quelqu'un aurait-il une idée du problème ?

    Mon code :

    # Content Security Policy (CSP)
    Header set Content-Security-Policy "script-src 'self' https://apis.google.com; object-src 'self'"
    # `mod_headers` cannot match based on the content-type, however,
    # the `Content-Security-Policy` response header should be send
    # only for HTML documents and not for the other resources.
    <FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|top ojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|webmanifest|woff2?|xloc|xml|xpi)$">
    Header unset Content-Security-Policy
    </FilesMatch>

    Pareil avec le simple code :

    Header set Content-Security-Policy "script-src 'self' https://apis.google.com; object-src 'self'"
    Dernière édition par syl-20 à 07/07/2018, 14h05 Raison: Content Security Policy, CSP

  • #2
    Bonjour,

    En général, lorsque vous implémentez le CSP, il faut aller voir très souvent au niveau de la console de votre explorateur s'il y a ou non des messages d'erreur.

    Si oui, c'est que vous avez des conditions qui bloquent dans votre .htaccess.

    Pascal
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Bonjour,
      merci, oui c'est à peu près ce que j'ai fait : j'ai testé l'admin et le site à chaque implémentation dans le fichier. Tout fonctionne, sauf la CSP qui bloque l'admin... Mais j'aimerais bien savoir pourquoi et quoi faire pour y remédier, c'est quand même une mesure de sécurité importante...

      Commentaire


      • #4
        Avez-vous des messages dans la console de votre explorateur ?
        If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

        Commentaire


        • #5
          Votre CSP est beaucoup trop laconique.
          Elle devrait au moins débuter par ceci : "Header set Content-Security-Policy: "base-uri 'self'; default-src 'self'" pour au moins autoriser les fichiers provenant de votre propre site.
          Ensuite vous ajouter les scripts, mais aussi les images, les CSS, les iframes, ...
          Pour vous guider, vous pouvez utiliser ce générateur : https://www.cspisawesome.com/

          Et pour corriger les problèmes, le plus simple est d'utiliser la console de Chrome pour afficher les erreurs.
          Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
          Administrateur certifié Joomla! 3
          https://www.betterweb.fr

          Commentaire


          • #6
            Bonsoir et merci à tous les deux, je vais essayer de me renseigner davantage et d'utiliser le générateur.

            Pour info, voici ce que me dit la console navigateur :


            Content Security Policy: Les paramètres de la page ont empêché le chargement d’une ressource à self (« script-src »). Source: onfocusin attribute on DIV element. index.php

            Content Security Policy: Les paramètres de la page ont empêché le chargement d’une ressource à self (« script-src »). Source: var j2storeURL = 'https://monsite.biz/....

            Commentaire


            • #7
              Bon, en fait, vu le nombre de blocages que m'indique la console malgré une quinzaine de domaines ajoutés à mes exceptions, sans compter tous les scripts natifs bloqués malgré l'exception 'self', j'en conclus qu'il est impossible de mettre en place une CSP sur mon site...

              Commentaire


              • #8
                Le but du CSP est de maîtriser les scripts, images, ... affichées sur votre site.

                Nous avions eu une petite discussion sur ce sujet: https://forum.joomla.fr/forum/ressou...rityheaders-io

                Si vous regardez dans les options, qui sont bien détaillées dans https://openweb.eu.org/articles/content-security-policy, vous avez possibilité de passer en "report-only" avec la commande
                header("Content-Security-Policy-Report-Only:.... cela permet de tester votre .htaccess et de voir ce qui manque sans casser votre site. Pascal ​​​​​​​
                If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                Commentaire

                Annonce

                Réduire
                Aucune annonce pour le moment.

                Partenaire de l'association

                Réduire

                Hébergeur Web PlanetHoster
                Travaille ...
                X