Sinon et pour répondre à Benoit, j'ai choisi des directives pas trop fermées (au détriment du risque) :
Les scripts JS inline et l'eval sont autorisés Idem pour les styles CSS inline Ça vaudra peut-être le coup de donner un coup de tournevis en allant à la chasse aux scripts et style inline et d'évaluer si l'eval JS peut être interdit. Cela dit, maintenant qu'on a accès aux différentes directives, tout le monde peut les modifier et faire les tests idoines. Vos rapports seront utiles pour affiner ça. Merci Le 24 juillet 2016 à 08:00, Benoit GRELIER <[email protected]> a écrit : > Je n'ai pas trop le loisir de tester actuellement, mais après quelques > lecture sur le sujet ( très technique pour mon niveau de compréhension, par > exemple : > https://hacks.mozilla.org/2016/02/implementing-content-security-policy/ > ) je retiens que: > > _Il y a encore des bugs, > > _l’implémentation n'est pas simple et demande du temps. > > _Ce peut-être effectivement un bon outils de contrôle pour la phase de dev > d'une application et inciter à de bonnes pratiques. > > > > Coté admin pour dotclear, le fait d'ajout de plugins tiers plus ou moins > bien conçu ne risque-t-il pas de tout casser à l'affichage? > > Benoit. > > > > > > > Message du 23/07/16 19:43 > > De : "Franck Paul" > > A : "[email protected]" > > Copie à : > > Objet : Re: [Dotclear Dev] CSP côté admin > > > > Côté admin, je pense qu'on peut l'imposer. Par contre c'est côté public > ou il faudra permettre un réglage beaucoup plus fin ; mais j'ai mon idée à > ce sujet. Le 23 juillet 2016 à 14:51, Benoit GRELIER a écrit : > Je pence > que ce service devrait être optionnel ( sous forme de module > > activable/désactivable ) et non intégré en dur dans le code. > > > > > > > -- > Dev mailing list - [email protected] - > http://ml.dotclear.org/listinfo/dev > -- Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
