Envoyé par lesoutier
Voir le message
Définition des directives de sécurité Headers CSP
Réduire
X
-
Le visiteur a répondu
-
Si le problème est réglé merci de l'indiquer.
Pour cela voir l'encadré ci-dessous.
Laisser un commentaire:
-
Le visiteur a réponduBonjour Pascal & Eddy,
J'avais déjà tenté les 2 directives décrites par Eddy pour paramétrer le plugin "HTTPHeaders". Et avec ces mêmes paramètres.
Je bloquais le fonctionnement de CB (community builder) dès l'application de la plus basique des 2 directives CSP (la 1ère).
Mais je viens de trouver: je ne dois mettre que la seule deuxième directive. Et tout fonctionne proprement en front-end, et aucun message dans la console de Firebug.
Grand merci à vous 2. Et bonne soirée !Dernière édition par Visiteur à 14/04/2019, 17h49
Laisser un commentaire:
-
Bonjour lendrevi et Pascal.
Pour mettre en place une CSP avec le plugin HTTPHeaders, c'est très simple.
Il faut commencer par une CSP par défaut qui autorise uniquement le contenu du site :
Politique via les directives -> default-src
Valeur -> 'self'
Ensuite il faut vérifier toutes les pages du site à l'aide de la console afin de relever les erreurs et mettre en place une CSP pour chacune d'elles.
p.ex. Imaginons que tu utilises Google Analytics et le reCaptcha de Google. En testant tes pages, la console affichera une ou plusieurs erreurs comme ceci :
La console te dis la CSP qu'il faut ajouter -> script-src… et l'url bloquée qu'il faut autoriser.
Tu te rends dans le plugin HTTPHeaders et tu ajoutes une règle, tu lui donne script-src comme politique et comme valeur 'self' 'unsafe-inline' www.google-analytics.com www.google.com ('unsafe-inline' autorise les scripts inline que tu aurais éventuellement sur ton site. À ne renseigner que si strictement nécessaire).
Les URL's sont à indiquer sans le http(s) mais impérativement avec le www si l'URL en est formée.
Tu restestes la page et ajoutes les directives une à une jusqu'à ce qu'il n'y ait plus d'erreur.
Tu continues alors les tests sur toutes tes pages afin de t'assurer que tu autorises bien les ressources utiles au fonctionnement de ton site.
Comme polices tu retrouveras peut-être :
script-src, img-src, style-src, frame-src, font-src, form-action, etc.Dernière édition par Eddy.vh à 14/04/2019, 11h12
Laisser un commentaire:
-
Envoyé par lendrevi Voir le message....Que j'utilise l'une ou l'autre de ces techniques, je crée un dysfonctionnement de CB: blocage dans l'affichage de profil de membre, dans la modification d'un profil, etc...
Pascal
Laisser un commentaire:
-
Bonjour,
Lors des joomladays à Paris, j'ai fait une présentation "express" des headers et du CSP. Ce n'est pas encore en ligne sur le site des joomladays, mais vous pouvez retrouver la présentation sur mon site : https://www.conseilgouz.com/espace-t...19-httpheaders
En espérant que cela réponde à votre problème, bon dimanche,
Pascal
Laisser un commentaire:
-
guest_started_a_topic_y_with_prefixDéfinition des directives de sécurité Headers CSP
Mon environnement: Joomla 3.9.5, Community Builder (dernière version)
Je n'arrive pas à définir une directive CSP, même la plus simple qui soit pour protéger mon site.
J'ai essayé les 2 techniques d'implémentation:- avec une définition dans mon fichier .htaccess,
- ou à l'aide du plugin dédié "http".
Question: qui pourrait me préciser l'écriture eacte et la plus basique d'une directive CSP ?
Merci, et bon dimanche.Dernière édition par Visiteur à 14/04/2019, 04h02Tags: Aucun
Annonce
Réduire
Aucune annonce pour le moment.
Laisser un commentaire: