Côté admin, je pense qu'on peut l'imposer. Par contre c'est côté public ou il faudra permettre un réglage beaucoup plus fin ; mais j'ai mon idée à ce sujet.
Le 23 juillet 2016 à 14:51, Benoit GRELIER <[email protected]> a écrit : > Je pence que ce service devrait être optionnel ( sous forme de module > activable/désactivable ) et non intégré en dur dans le code. > > > > > > > > > > > Message du 20/07/16 09:38 > > De : "Franck Paul" > > A : "[email protected]" > > Copie à : > > Objet : [Dotclear Dev] CSP côté admin > > > > Bonjour, Je vais intégrer les CSP (content security policies) côté admin > et en more reporting pour l'instant dans mon prochain commit (et donc dans > la nightly de la nuit prochaine). Ce système, à partir de PHP 5.4, devrait > produire en cas de violation de la directive, un rapport dans le fichier > texte /admin/csp_report.txt Pouvez-vous tester de votre côté cette > prochaine nightly, jouer un peu avec l'admin, et me retourner le contenu du > fichier csp_report.txt si jamais il était créé et pas vide ? À noter que > cette directive, si jamais elle était trop restrictive, peut assez vite > foutre en l'air une admin (et encore plus la partie publique d'un blog), > c'est la raison pour laquelle j'y vais doucement. Si tout va bien, on > gardera les CSP côté admin pour la 2.10, et je verrai comment gérer la > partie publique (largement plus complexe puisqu'on peut intégrer des > éléments de sources variées dans un blog). Vous ne savez pas ce que sont > les CSP ? Eh bien prenez 15 minutes pour visionner ceci → > https://www.paris-web.fr/2015/conferences/csp-content-security-policy.php > À vous lire… -- Franck — Operating Crocker’s rules ( > http://sl4.org/crocker.html) -- Dev mailing list - [email protected] > - http://ml.dotclear.org/listinfo/dev > -- > Dev mailing list - [email protected] - > http://ml.dotclear.org/listinfo/dev > -- Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
