Avec les navigateurs qui prennent en compte les CSP (cf → http://caniuse.com/#feat=contentsecuritypolicy) , ça peut verrouiller encore mieux côté sécu, en tout cas pour l'admin et c'est pas plus mal.
Le 21 juillet 2016 à 14:03, Franck L <[email protected]> a écrit : > En effet, j'ai testé et vu les effets, avec une simple histoire de config > d'url qui n'était pas bonne pour la prévisualisation. > > Je n'avais pas vu pour les thèmes. > > > Le 21/07/2016 à 12:49, Franck Paul a écrit : > >> Peu importe pour l'endroit, c'est actif dans tous les cas. >> >> Sinon les miniatures des thèmes de DA ne sont pas affichées (en tout cas >> jusqu'à la prochaine nightly), Annie Strohem vient de me signaler le pb et >> je viens de corriger ça. >> >> Merci pour les tests >> >> Le 21 juillet 2016 à 10:27, Franck L <[email protected]> a écrit : >> >> Hello Franck, >>> >>> Yep. Je teste ça sur mon install de test en local. Ça marche pour du >>> local, ou il est préférable de tester en ligne, d'ailleurs ? >>> >>> Tomek >>> >>> Le 20/07/2016 à 09:37, Franck Paul a écrit : >>> >>> Bonjour, >>>> >>>> Je vais intégrer les CSP (content security policies) côté admin et en >>>> more >>>> reporting pour l'instant dans mon prochain commit (et donc dans la >>>> nightly >>>> de la nuit prochaine). Ce système, à partir de PHP 5.4, devrait produire >>>> en >>>> cas de violation de la directive, un rapport dans le fichier texte >>>> /admin/csp_report.txt >>>> >>>> Pouvez-vous tester de votre côté cette prochaine nightly, jouer un peu >>>> avec >>>> l'admin, et me retourner le contenu du fichier csp_report.txt si jamais >>>> il >>>> était créé et pas vide ? >>>> >>>> À noter que cette directive, si jamais elle était trop restrictive, peut >>>> assez vite foutre en l'air une admin (et encore plus la partie publique >>>> d'un blog), c'est la raison pour laquelle j'y vais doucement. >>>> >>>> Si tout va bien, on gardera les CSP côté admin pour la 2.10, et je >>>> verrai >>>> comment gérer la partie publique (largement plus complexe puisqu'on peut >>>> intégrer des éléments de sources variées dans un blog). >>>> >>>> Vous ne savez pas ce que sont les CSP ? Eh bien prenez 15 minutes pour >>>> visionner ceci → >>>> >>>> https://www.paris-web.fr/2015/conferences/csp-content-security-policy.php >>>> >>>> À vous lire… >>>> >>>> >>>> -- >>> Dev mailing list - [email protected] - >>> http://ml.dotclear.org/listinfo/dev >>> >>> >> >> > -- > Dev mailing list - [email protected] - > http://ml.dotclear.org/listinfo/dev > -- Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
