Fonctionnement du plugin HTTPheaders

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • #16
    J'avais bien un seul plugin actif, lorsque je le désactivait, j'étais en rouge. Je ne sais pas ce qu'il se passait.

    Finalement, je suis passé par le htaccess et il m'a fallut peu de temps pour fignoler ça par contre, j'ai du écrire mon code autrement que ce que tu as indiqué plus haut.

    Je suis occupé de chercher le comment du pourquoi.

    Voilà le contenu de mon htaccess pour ces machins choses…

    Code:
    ## DÉBUT DES HEADERS ET CSP ##
    <IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
    Header always set X-Frame-Options "SAMEORIGIN"
    Header set X-Content-Type-Options nosniff
    
    Header set Content-Security-Policy "default-src 'self';"
    Header set Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.gstatic.com https://www.google.com/recaptcha/api.js www.google-analytics.com blob: data:;"
    Header set Content-Security-Policy "style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;"
    
    Header always set Referrer-Policy 'no-referrer-when-downgrade'
    Header always set Feature-Policy "microphone 'none'; payment 'none'; sync-xhr 'self'
    </IfModule>
    Cordialement.
    __
    Eddy !!!
    Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

    Commentaire


    • #17
      Même souci de duplication des commandes CSP sur un de mes sites alors que tous les autres semblent OK avec le plugin.

      Je cherche....
      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

      Commentaire


      • #18
        Chez quel hébergeur?

        Parce que j'ai installé le plugin sur un autre site hébergé ici en Allemagne chez Dogado et ça semble fonctionner.
        Cordialement.
        __
        Eddy !!!
        Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

        Commentaire


        • #19
          le site qui coince est chez o2switch
          If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

          Commentaire


          • #20
            J'ai eu des soucis avec 1&1 qui n'acceptait pas la commande mod_headers du htaccess à cause du fastCGI : le plugin et ses modif. par php m'a sauvé la mise.

            Par contre, j'ai aussi des clients chez OVH et GANDI : le mode .htaccess et le plugin fonctionnent corectement. J'ai alors basculé vers le plugin, car c'est plus simple que de mettre à jour le htaccess.

            Pascal
            If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

            Commentaire


            • #21
              Je viens d'essayer le plugin sur un site chez PlanetHoster et il fonctionne aussi correctement.
              If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

              Commentaire


              • #22
                Pascal.

                Mes sites, dont breezingforms.eddy-vh.om, sont Chez o2Switch également et c'est bien lui qui pose le problème de doublon.

                Je viendrai bien sûr donner les résultats du site hébergé chez Dogado des que j'aurais implémenté les csp.

                Cordialement.
                __
                Eddy !!!
                Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                Commentaire


                • #23
                  J'ai réinstallé le plugin (qui est en version 1.0.5 suite à l'intégration de la traduction par Yann : https://github.com/zero-24/plg_syste...eader/releases) et cela fonctionne à nouveau correctement chez o2switch.

                  Je ne pense pas que cela soit lié à l'hébergement. Peut-être un conflit avec un autre plugin.

                  Pascal

                  If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                  Commentaire


                  • #24
                    Pascal.

                    Juste pour info, j'ai dû insérer un 'unsafe-eval' dans les scripts et ça fait redescendre le site en A mais, il semble que je n'aie pas d'autre solution. Est-il d'ailleurs possible de l'éviter et comment?

                    J'avais mis à jour hier avec la 1.5 mais ça ne changeait rien… Quelle autre extension pourrait interférer ?

                    Je referai d'avantage d'essais sur un site en test.

                    Sur le site hébergé chez Dogado, pas le moindre problème.
                    Cordialement.
                    __
                    Eddy !!!
                    Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                    Commentaire


                    • #25
                      Bonjour Eddy,

                      Pour le unsafe-eval, il faut regarder qui le génère. De mon côté, j'ai vu que c'est lié à un appel eval(mod_pagespeed_...

                      Pascal
                      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                      Commentaire


                      • #26
                        Pour obtenir un A+, il faut généralement aussi supprimer les unsafe-inline, mais, là, cela devient plus coton car ce n'est pas encore dans les habitudes des développeurs de template/plugin/module/extension de sortir le CSS et les scripts du code php.

                        Personnellement, j'essaie de l'appliquer mais j'ai encore des extensions qui ne respectent pas ce précepte

                        Pascal
                        If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                        Commentaire


                        • #27
                          Bon.

                          J'ai réinstallé le plugin et l'ai retesté, et rien à faire, les valeurs de headers se doublent, ce qui est bizarre puisque si je désactive le plugin, je n'ai pas de headers du tout.

                          Finalement, j'ai mixé les htaccess en y plaçant les headers afin de ne pas les doubler, et le plugin gère les CSP… Ça semble bien fonctionner comme ça.

                          J'ai bien un mod_pagespeed_ dans mon htaccess généré par o2Switch suite à ma configuration Mais sans le 'unsafe-eval', le script AJAX de rechargement de JComment ne fonctionne pas…
                          Cordialement.
                          __
                          Eddy !!!
                          Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                          Commentaire


                          • #28
                            Plus qu'à faire un retour à JComment pour améliorer ça pour la priochaine mise à jour.
                            Dans mon cas c'est le slider qui insère un script dans le corps HTML, ce qui va également dégrader la note. Je dois également contacter le développeur.

                            Si tu peux partager ton script final Eddy.vh je dois repprendre le mien, mais, ton exemple est déjà très complet.

                            Dans mes essais, j'intègre 3 frames via le module frame de Joomla, ce sont des fichiers php venant de mon serveur, mais à ce moment la j'ai des alertes dans la console qui m'obligent a devenir plus permissif pour ne plus avoir les alertes. Je suppose que la aussi, ça va dégrader la note finale de sécurité.
                            Dans mon cas, c'est donc le script inline, et, les frames, qui vont poser problème.

                            Je voudrais bien contourner cette problématique de frame, pour intégrer un fichier.php dans un article Joomla.

                            Je m'étais également demandé si il ne fallait pas faire une proposition de mise à jour, pour ce module intégré à Joomla, pour ajouter une note informative au module frame :
                            " Utiliser les frames peut nuire à votre politique de sécurité (CSP) Veuillez préférer une autre méthode pour inclure du contenu externe dans votre site ... ".

                            Commentaire


                            • #29
                              Tiens,
                              Il me semblait avoir ajouté un message à ce post.
                              Je n'utilise plus que le plugin après avoir trouvé la source des duplications...

                              Quand à partager mon script, je ne comprends pas à quel script tu fais allusion...
                              Si par script, tu entends les CSP, c'est difficile de partager. D'autres pourraient penser qu'une mise en oeuvre identique les protégeraient alors que ces CSP doivent être adaptées à chaque situation.

                              Aussi Pascal donné un exemple plus haut qui est, à quelques exceptions près, assez semblable au mien.
                              Q
                              Cordialement.
                              __
                              Eddy !!!
                              Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                              Commentaire


                              • #30
                                Envoyé par Eddy.vh Voir le message
                                Tiens,
                                Il me semblait avoir ajouté un message à ce post.
                                Je n'utilise plus que le plugin après avoir trouvé la source des duplications...
                                ....
                                Bonjour Eddy,

                                Tu ne nous as pas donné la source en question.

                                Pascal
                                If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                                Commentaire

                                Annonce

                                Réduire
                                Aucune annonce pour le moment.

                                Partenaire de l'association

                                Réduire

                                Hébergeur Web PlanetHoster
                                Travaille ...
                                X