J'avais bien un seul plugin actif, lorsque je le désactivait, j'étais en rouge. Je ne sais pas ce qu'il se passait.

Finalement, je suis passé par le htaccess et il m'a fallut peu de temps pour fignoler ça par contre, j'ai du écrire mon code autrement que ce que tu as indiqué plus haut.

Je suis occupé de chercher le comment du pourquoi.

Voilà le contenu de mon htaccess pour ces machins choses…

Même souci de duplication des commandes CSP sur un de mes sites alors que tous les autres semblent OK avec le plugin.

Je cherche....

Chez quel hébergeur?

Parce que j'ai installé le plugin sur un autre site hébergé ici en Allemagne chez Dogado et ça semble fonctionner.

le site qui coince est chez o2switch

J'ai eu des soucis avec 1&1 qui n'acceptait pas la commande mod_headers du htaccess à cause du fastCGI : le plugin et ses modif. par php m'a sauvé la mise.

Par contre, j'ai aussi des clients chez OVH et GANDI : le mode .htaccess et le plugin fonctionnent corectement. J'ai alors basculé vers le plugin, car c'est plus simple que de mettre à jour le htaccess.

Pascal

Je viens d'essayer le plugin sur un site chez PlanetHoster et il fonctionne aussi correctement.

Pascal.

Mes sites, dont breezingforms.eddy-vh.om, sont Chez o2Switch également et c'est bien lui qui pose le problème de doublon.

Je viendrai bien sûr donner les résultats du site hébergé chez Dogado des que j'aurais implémenté les csp.

J'ai réinstallé le plugin (qui est en version 1.0.5 suite à l'intégration de la traduction par Yann : https://github.com/zero-24/plg_syste...eader/releases) et cela fonctionne à nouveau correctement chez o2switch.

Je ne pense pas que cela soit lié à l'hébergement. Peut-être un conflit avec un autre plugin.

Pascal

Pascal.

Juste pour info, j'ai dû insérer un 'unsafe-eval' dans les scripts et ça fait redescendre le site en A mais, il semble que je n'aie pas d'autre solution. Est-il d'ailleurs possible de l'éviter et comment?

J'avais mis à jour hier avec la 1.5 mais ça ne changeait rien… Quelle autre extension pourrait interférer ?

Je referai d'avantage d'essais sur un site en test.

Sur le site hébergé chez Dogado, pas le moindre problème.

Bonjour Eddy,

Pour le unsafe-eval, il faut regarder qui le génère. De mon côté, j'ai vu que c'est lié à un appel eval(mod_pagespeed_...

Pascal

Pour obtenir un A+, il faut généralement aussi supprimer les unsafe-inline, mais, là, cela devient plus coton car ce n'est pas encore dans les habitudes des développeurs de template/plugin/module/extension de sortir le CSS et les scripts du code php.

Personnellement, j'essaie de l'appliquer mais j'ai encore des extensions qui ne respectent pas ce précepte

Pascal

Bon.

J'ai réinstallé le plugin et l'ai retesté, et rien à faire, les valeurs de headers se doublent, ce qui est bizarre puisque si je désactive le plugin, je n'ai pas de headers du tout.

Finalement, j'ai mixé les htaccess en y plaçant les headers afin de ne pas les doubler, et le plugin gère les CSP… Ça semble bien fonctionner comme ça.

J'ai bien un mod_pagespeed_ dans mon htaccess généré par o2Switch suite à ma configuration Mais sans le 'unsafe-eval', le script AJAX de rechargement de JComment ne fonctionne pas…

Plus qu'à faire un retour à JComment pour améliorer ça pour la priochaine mise à jour.
Dans mon cas c'est le slider qui insère un script dans le corps HTML, ce qui va également dégrader la note. Je dois également contacter le développeur.

Si tu peux partager ton script final Eddy.vh je dois repprendre le mien, mais, ton exemple est déjà très complet.

Dans mes essais, j'intègre 3 frames via le module frame de Joomla, ce sont des fichiers php venant de mon serveur, mais à ce moment la j'ai des alertes dans la console qui m'obligent a devenir plus permissif pour ne plus avoir les alertes. Je suppose que la aussi, ça va dégrader la note finale de sécurité.
Dans mon cas, c'est donc le script inline, et, les frames, qui vont poser problème.

Je voudrais bien contourner cette problématique de frame, pour intégrer un fichier.php dans un article Joomla.

Je m'étais également demandé si il ne fallait pas faire une proposition de mise à jour, pour ce module intégré à Joomla, pour ajouter une note informative au module frame :
" Utiliser les frames peut nuire à votre politique de sécurité (CSP) Veuillez préférer une autre méthode pour inclure du contenu externe dans votre site ... ".

Tiens,
Il me semblait avoir ajouté un message à ce post.
Je n'utilise plus que le plugin après avoir trouvé la source des duplications...

Quand à partager mon script, je ne comprends pas à quel script tu fais allusion...
Si par script, tu entends les CSP, c'est difficile de partager. D'autres pourraient penser qu'une mise en oeuvre identique les protégeraient alors que ces CSP doivent être adaptées à chaque situation.

Aussi Pascal donné un exemple plus haut qui est, à quelques exceptions près, assez semblable au mien.
Q

Bonjour Eddy,

Tu ne nous as pas donné la source en question.

Pascal