Attaques XSS

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Attaques XSS

    J'ai voulu protégez mon site Web contre les attaques de type XSS (Cross-Site Scripting) et j'ai ajouté dans le .htaccess:

    Code:
    # Content-Security-Policy
    <IfModule mod_headers.c>
    Header set Content-Security-Policy "default-src 'self'"
    </IfModule>
    # Content-Security-Policy
    Malheureusement cela désorganise le template de l'administration. Je l'ai supprimé l'admin et redevenue normale.

    Quelqu'un a-t-il déjà rencontré ce type de problème ?


    Dernière édition par pjuignet à 17/11/2021, 16h04

  • #2
    PAs eu de soucis avec ça, mais j'utilise Admintools pour la génération du htaccess.
    Voici ce qu'il implémente
    Code:
    ## Reflected XSS prevention
    <IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
    </IfModule>
    
    # mod_headers cannot match based on the content-type, however,
    # the X-XSS-Protection response header should be sent only for
    # HTML documents and not for the other resources.
    
    <IfModule mod_headers.c>
    <FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|top ojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|webmanifest|woff2?|xloc|xml|xpi)$">
    Header unset X-XSS-Protection
    </FilesMatch>
    </IfModule>
    A noter le commentaire
    Code:
    [B]# mod_headers cannot match based on the content-type, however,
    # the X-XSS-Protection response header should be sent only for
    # HTML documents and not for the other resources.[/B]
    Dernière édition par dolmenhir à 17/11/2021, 15h12
    Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
    Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
    Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

    Commentaire


    • #3
      Merci dolmenhir
      Moi aussi j'ai Admintools pro mais je ne veux pas générer automatiquement le htaccess, je préfère procéder à la main et progressivement pour bien comprendre ce que je fais.
      Je vais mettre le code de Nicholas qui manifestement est plus adapté.

      Fait --> ça marche
      Dernière édition par pjuignet à 17/11/2021, 16h03

      Commentaire


      • #4
        Envoyé par pjuignet Voir le message
        Fait --> ça marche
        Super !
        Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
        Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
        Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

        Commentaire

        Annonce

        Réduire
        Aucune annonce pour le moment.

        Partenaire de l'association

        Réduire

        Hébergeur Web PlanetHoster
        Travaille ...
        X