sécurité XSS

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    [Problème] sécurité XSS

    Bonsoir à tous,

    Lighhouse me dit que j'ai une protection CSP est insuffisante :
    Ensure CSP is not effective against XSS attacks
    script-src directive is missing.
    object-src directive is missing

    Est que ceci peut être obtenu en réglant la partie CSP du plugin "Système - En-têtes HTTP" ?

    Réglage actuel en PJ
    Fichiers joints
    Dernière édition par pjuignet à 13/03/2022, 05h15
    Tags: Aucun
  • #2
    J'ai essayé la dernière option appelée "Ajouter une directive" :
    Mis la directive "script-src" avec l'option self (qui permet de donner le site pour seule origine des scripts) et ça a démonté le site que j'ai dû refaire à partir d'une sauvegarde.


    Je ne trouve pas de documentation pour ce plugin.

    Commentaire

    • #3
      Bonjour,

      Joomla 4 inclut le plugin HTTP Headers de Zero24 et vous l'avez trouvé.

      Il suffit de l'activer.

      Au niveau des différentes directives, certaines peuvent effectivement "casser" votre site. D'où l'utilité de l'option "report-only" .

      Pascal
      Dernière édition par pmleconte à 13/03/2022, 14h43
      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

      Commentaire

      • #4
        Bonjour,

        Merci de la réponse.

        Le problème est que le site a une protection CSP insuffisante car les directives concernant script-src et object-src sont manquantes. Le plugin HTTP Headers est activé et j’espérais pouvoir rajouter des directives de type default-src 'none' ; ou default-src 'self' ; grâce à lui, mais un premier essai a désorganisé le site. L'option "report-only" est activée mais je ne sais pas l'utiliser.
        f you can help, you are welcome .

        Commentaire

        • #5
          Bonjour,

          L'option "report-only" permet de voir les erreurs provoquées par le CSP au niveau de la console de l'explorateur (touche F12 sous Chrome).

          Vous devriez voir des lignes donnant les valeurs manquantes à vos directives.

          D'autre part, essayez d'activer CSP sans mettre aucune directive et vérifiez avec https://securityheaders.com/

          Pascal
          If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

          Commentaire

          • #6
            Le diagnostic avec csp evaluator est plus précis


            frame-ancestors check 'self'

            script-src [missing]
            • script-src directive is missing.

            object-src [missing]
            • Missing object-src allows the injection of plugins which can execute JavaScript. Can you set it to 'none'?


            Dernière édition par pjuignet à 18/03/2022, 08h29

            Commentaire

            • #7
              Un petit up pour le cas où ...

              Le problème est que le remède semble tuer le malade. Quand je rajoute default-src 'none' , ou default-src 'self' avec le plugin HTTP Headers ça désorganise le site (perte de la mise en forme y compris en back end).

              Je n'ose plus rien faire car le site en production.

              Commentaire

              Précédent template Suivant

              Annonce

              Réduire
              Aucune annonce pour le moment.

              Partenaire de l'association

              Réduire
              Hébergeur Web PlanetHoster
              Travaille ...
              X