Question sur les entêtes http, HSTS et CSP

**pjuignet** · 10/04/2023, 07h10

j'ai ajouté unsafe-inline qui me semble être la bonne formulation.

Le test Lighthouse considère que c'est un mauvaise pratique :

ciences.com:21:0

Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'strict-dynamic' 'nonce-NDQ5YjgxNzhkZmIwMjA1ZDEzNzU2MjBhZDFhYmNjZmM1MGM0ND g2MjZkMTFhZTQ2NjhmNTQ4ODEyMGFkYjIxZjU1ZWY4NmFiYTUw ODQ4NGEwNGIxODZkZWU1Yzk2MGZiODI2ZTY4NzQ3MTFjNzc1ND Q0ODhiMWM3NDI5OTc2Yjg=' 'self' 'unsafe-inline' https://philosciences.com https://*.philosciences.com". Note that 'unsafe-inline' is ignored if either a hash or nonce value is present in the source list.

Mais je crois qu'il se trompe. Un nonce et unsafe sont incompatibles mais certains navigateurs ne prenant pas en charge les nonces ils ont besoin de 'unsafe-inline'.

Voilà ce que je comprends.....

**Fred2FR3** · 10/04/2023, 09h42

Oui, en 2023, les balises <script> et <style> devraient être bannies des templates, sauf dans le <head> évidement, c'est ma conviction, mais voila... seulement ... ca se passe pas comme ca...
Pour faire un nonce, faut quasi obligatoirement aller modifier le core d'un cms ou d'un plugin/module pour y mettre un ID, ce qui est aussi une mauvaise pratique dans tout les cas et de toutes façons ... Après je n'ai pas encore appris a faire des overrides sous Joomla!, mais je doute que ce soit possible d'une part, et d'autre, je doute que mes sites soit en proie d'un hacker acharné a chercher la moindre faille de sécurité héhéhé (d'autant plus que la, s'en est pas vraiment une si on regarde de plus près, faudrait avoir du JS inline qui interagisse avec la BDD par exemple)

Quand tu vois ce que font les agences d'une banque, tu peux etre fier d'avoir un A !

**tradeymag** · 12/04/2023, 20h50

Envoyé par pmleconte Voir le message

Bonjour Robert,

Pour le permissions-policy, cela se passe sur le 1er onglet.

N'abuses pas sur les chocolats,
Pascal

cest quel plugin ?
merci

**pmleconte** · 13/04/2023, 06h41

Bonjour,

En Joomla 4, il s'appelle du plugin système Entêtes HTTP (httpheaders).

Si vous êtes passé par Joomla 3, il peut rester l'ancien plugin httpheader sans s, développé par la même personne. Cet ancien plugin est à supprimer à la main car il ne l'était pas automatiquement.

Pascal

**tradeymag** · 13/04/2023, 10h57

merci ! ca me donne un A+ sans effort :-)

**tradeymag** · 13/04/2023, 11h56

si je teste sur https://www.serpworx.com/check-security-headers/?url=....

il manque :
X Permitted Cross Domain Policies
Feature Policy
Expect CT

meme manque ici https://domsignal.com

savez vous comment les ajouter et quels paramètres ?

merci

**Fred2FR3** · 13/04/2023, 12h19

Les réponses et des détails te son donnés a la suite des résultats !

**pmleconte** · 13/04/2023, 12h40

Envoyé par tradeymag Voir le message

si je teste sur https://www.serpworx.com/check-security-headers/?url=....

il manque :
X Permitted Cross Domain Policies
Feature Policy
Expect CT

meme manque ici https://domsignal.com

savez vous comment les ajouter et quels paramètres ?

merci

Bonjour,
Ces entêtes sont marqués "deprecated". Feature Policy a été remplacé par permissions-policy, x-permitted-cross-domain-policies par Same-Origin Policy. Je n'ai pas trouvé ce qui remplace Expect-CT mais il est marqué en gros "deprecated" lui aussi : https://developer.mozilla.org/en-US/...b/HTTP/Headers

Pascal

**tradeymag** · 13/04/2023, 12h49

ok ! merci
et pour les upcoming ?
Cross-Origin-Embedder-Policy
Cross-Origin-Resource-Policy

**Fred2FR3** · 13/04/2023, 13h01

Si je ne me trompe pas, faut activer les CORS dans le plugin.

[EDIT] pas dans le plugin, dans les configurations globales > Serveur.

Mais attends un avis plus avisé, je ne connais pas bien Joomla! et ce sont des paramètres très sensibles.

**pmleconte** · 13/04/2023, 13h12

En fait, ces entêtes sont prévus dans le fichier htaccess.txt fourni avec Joomla.

Cependant, ils peuvent être trop bloquants en n'autorisant pas l'appel aux scripts externes par exemple. Donc, ils sont là, mais en commentaire (lignes 45 à 51).

Donc, vous pouvez les activer, en vérifiant bien que votre site est toujours fonctionnel.

Pascal

**pmleconte** · 13/04/2023, 13h20

Par exemple, je viens de les activer sur un site de test et j'ai une erreur :

get http://use.fontawesome.com/releases/v6.3.0/css/all.css net::ERR_BLOCKED_BY_RESPONSE.NotSameOriginAfterDef aultedToSameOriginByCoep 200 (OK)

Donc, bien lire la doc avant mise en œuvre : https://scotthelme.co.uk/coop-and-coep/

Pascal

**tradeymag** · 13/04/2023, 13h37

merci pour ces infos
je vais essayer car je n ai aucun jquery ni js dans mon head et le site n'utilise aucun javascript

**pmleconte** · 13/04/2023, 13h42

Juste pour voir si cela fonctionne, il y a des commandes report-only : Cross-Origin-Opener-Policy-Report-Only et Cross-Origin-Embedder-Policy-Report-Only

voir https://web.dev/cross-origin-isolation-guide/

**tradeymag** · 13/04/2023, 14h15

Envoyé par Fred2FR3 Voir le message

Si je ne me trompe pas, faut activer les CORS dans le plugin.

[EDIT] pas dans le plugin, dans les configurations globales > Serveur.

Mais attends un avis plus avisé, je ne connais pas bien Joomla! et ce sont des paramètres très sensibles.

je viens d'activer ca sur mon site et je nais aucune erreur

Question sur les entêtes http, HSTS et CSP

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association