message énigmatique

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] message énigmatique

    Bonjour,

    Quelqu'un pourrait il m'explique ce que veut dire ce message ?

    Errors logged to the console indicate unresolved problems. They can come from network request failures and other browser concerns.
    https://philosciences.com:20:0 Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'self' 'strict-dynamic'". Either the 'unsafe-inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required to enable inline execution. Note that hashes do not apply to event handlers, style attributes and javascript: navigations unless the 'unsafe-hashes' keyword is present.
    Je comprends que la consigne : script-src 'self' 'strict-dynamic provoque un problème mais lequel ? et comment le résoudre ? Le vocabulaire employé m'est inconnu.


  • #2
    Selon ton lien je n’ai pas cette erreur, pas une erreur Joomla mais plutôt de ton navigateur je pense. Essaye avec un autre navigateur.

    Commentaire


    • #3
      Bonjour,

      Je vois que vous êtes en Joomla 4. Vous avez activé le plugin "entêtes http". C'est bien pour la sécurité.

      En Joomla 3, nous avions eu une discussion à ce sujet : https://forum.joomla.fr/forum/joomla...n-httpheadersa

      Au niveau de Joomla 4, j'ai constaté que le fonctionnement par défaut du plugin permet d'obtenir un A (je n'ai déclaré aucune directive CSP) :


      Cliquez sur l'image pour l'afficher en taille normale

Nom : j4-CSP.jpg 
Affichages : 99 
Taille : 50,1 Ko 
ID : 2039975

      Avec ce réglage, les scripts inlines (script javascript dans les modules) sont gérés correctement.

      Pascal
      Helloo aime ceci.
      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

      Commentaire


      • #4
        Bonjour à tous deux Helloo et pmleconte

        @pmleconte
        Oui c'est bien le réglage que j'ai, mais j'ai ajouté trois directives :
        script-src 'self'
        script-src-elem 'self'
        objet-src 'none'

        Sans ces directives les deux tests CSP evaluator et lighthouse indiquent des failles de sécurité "sévères".

        Avec quel test obtenez-vous un A ?

        Commentaire


        • #5
          je passe par https://securityheaders.com/

          et j'obtiens A+

          Pascal
          Helloo aime ceci.
          If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

          Commentaire


          • #6
            Strict-Transport-Security (HSTS) faut laisser désactivé ?

            J'arrive à un A mais pas A+


            pjuignet, d’où as-tu trouvé qu'il fallait ajouter ces 3 directives ?

            script-src 'self'
            script-src-elem 'self'
            objet-src 'none'
            Dernière édition par Helloo à 19/05/2022, 20h34

            Commentaire


            • #7
              J'obtiens seulement A car : Permissions Policy is a new header that allows a site to control which features and APIs can be used in the browser.

              Le problème n'est pas dans la protection qui est asse bien assurée mais dans cet effet indésirable : Refused to execute inline event handler
              ça perturbe par exemple OS map

              Quand j'analyse votre site j'obtiens :

              error
              script-src
              [missing]
              • script-src directive is missing.


              error
              object-src
              [missing]
              • Missing object-src allows the injection of plugins which can execute JavaScript. Can you set it to 'none'?

              expand_more
              Legend

              error
              High severity finding


              Commentaire


              • #8
                Envoyé par Helloo Voir le message
                Strict-Transport-Security (HSTS) faut laisser désactivé ?

                ....
                Voir https://forum.joomla.fr/forum/joomla...uoi-et-comment

                Pascal
                Helloo aime ceci.
                If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                Commentaire


                • #9
                  Envoyé par pjuignet Voir le message
                  ....
                  Le problème n'est pas dans la protection qui est asse bien assurée mais dans cet effet indésirable : Refused to execute inline event handler
                  ça perturbe par exemple OS map
                  ....
                  Comme suggéré par LightHouse, j'essaierais de mettre pour script -src 'self' unsafe-inline

                  Cela devrait résoudre l'erreur signalée en autorisant l'exécution des scripts contenus dans les modules.

                  Envoyé par pjuignet Voir le message
                  J'obtiens seulement A car : Permissions Policy is a new header that allows a site to control which features and APIs can be used in the browser.
                  Le permission-policy s'ajoute sur l'onglet plugin, paramètre 'Forcer les entêtes HTTP' où vous pouvez, par exemple, ajouter microphone=()

                  Cela bloque l'utilisation du micro sur votre site.

                  Pascal
                  If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                  Commentaire


                  • #10
                    Helloo

                    Recommandations mozilla

                    Viser default-src https:est un excellent premier objectif, car il désactive le code en ligne et nécessite https.
                    Pour les sites Web existants avec de grandes bases de code qui nécessiteraient trop de travail pour désactiver les scripts en ligne, default-src https: 'unsafe-inline' est toujours utile, car il empêche les ressources d'être chargées accidentellement sur http. Cependant, il ne fournit aucune protection XSS.
                    Il est recommandé de commencer avec une stratégie raisonnablement verrouillée, telle que default-src 'none'; img-src 'self'; script-src 'self'; style-src 'self', puis d'ajouter les sources révélées lors des tests.

                    Commentaire


                    • #11
                      Bonjour Pascal,

                      Comme suggéré par LightHouse, j'essaierais de mettre pour script -src 'self' unsafe-inline
                      Testé : 'self' 'unsafe-inline'

                      Pas de changement.
                      Dernière édition par pjuignet à 20/05/2022, 19h28

                      Commentaire

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X