Toujours est-il que surveiller le fichier de rapport (admin/csp_report.txt) fournit de bonnes indications sur les directives qui sont violées. Une fois corrigé, tu peux vider le fichier et continuer tes tests.
Le 26 juillet 2016 à 10:28, Franck Paul <[email protected]> a écrit : > Beaucoup oui, quoique comparé à la taille totale d'une page d'admin, ça ne > doit pas peser bien lourd dans les échanges avec le serveur. > > Maintenant c'est aussi le prix à payer pour avoir une admin à peu près > sécurisée. > > Quoi qu'il en soit, on peut aussi décider d'ici la sortie de la 2.10 de ne > pas activer par défaut les CSP. J'attends de faire le bilan de tous vos > retours pour décider. > > 2016-07-26 10:21 GMT+02:00 Philippe <[email protected]>: > >> Merci >> >> Avec ton code, l'API est bien chargée, mais pour faire tout >> fonctionner il m'a fallu en rajouter pas mal ! En effet il y a des tas >> de serveurs d'images et de scripts chez Google : le lecteur de >> fichiers kml, Street View, les tuiles de cartes, les icônes, etc. >> >> Plus les tuiles pour les cartes OpenStreetMap >> >> Pour l'instant, je ne suis pas encore sûr d'avoir tout, et il me >> faudra probablement surveiller si les serveurs changent (et comment >> ?), mais voici la fonction >> >> public static function adminPageHTTPHeaderCSP($csp) >> { >> if (isset($csp['default-src'])) { >> $csp['default-src'] .= ' fonts.gstatic.com'; >> } else { >> $csp['default-src'] = 'fonts.gstatic.com'; >> } >> >> if (isset($csp['script-src'])) { >> $csp['script-src'] .= ' maps.googleapis.com'; >> } else { >> $csp['script-src'] = 'maps.googleapis.com'; >> } >> >> if (isset($csp['img-src'])) { >> $csp['img-src'] .= ' maps.gstatic.com maps.googleapis.com >> csi.gstatic.com khms0.googleapis.com khms1.googleapis.com >> mts0.googleapis.com mts1.googleapis.com cbks0.googleapis.com >> cbks1.googleapis.com tile.openstreetmap.org'; >> } else { >> $csp['img-src'] = 'maps.gstatic.com maps.googleapis.com >> csi.gstatic.com khms0.googleapis.com khms1.googleapis.com >> mts0.googleapis.com mts1.googleapis.com cbks0.googleapis.com >> cbks1.googleapis.com tile.openstreetmap.org'; >> } >> >> if (isset($csp['style-src'])) { >> $csp['style-src'] .= ' fonts.googleapis.com'; >> } else { >> $csp['style-src'] = 'fonts.googleapis.com'; >> } >> } >> >> Ça ne fait pas un peu beaucoup ? >> >> :D >> >> >> -- >> Philippe >> >> >> Le 26 juillet 2016 à 08:26, Franck Paul <[email protected]> a >> écrit : >> > Philippe, poyr mygmaps, dans _admin.php, quelque chose comme : >> > >> > >> $core->addBehavior('adminPageHTTPHeaderCSP',array('myAdminBehaviors','adminPageHTTPHeaderCSP')); >> > >> > class myAdminBehaviors >> > { >> > public static function adminPageHTMLHead($csp) >> > { >> > if (isset($csp['script-src'])) { >> > $csp['script-src'] .= ' maps.googleapis.com'; >> > } else { >> > $csp['script-src'] = 'maps.googleapis.com'; >> > } >> > } >> > } >> > >> > devrait faire l'affaire. >> > >> > Le 25 juillet 2016 à 17:50, Philippe <[email protected]> a écrit : >> > >> >> Le 25 juillet 2016 à 11:29, Franck Paul <[email protected]> >> a >> >> écrit : >> >> >> >> > Je viens de reprendre un peu le code pour offrir aux plugins tiers >> >> > l'opportunité d'intégrer leur complément de directive CSP (behavior >> >> > adminPageHTTPHeaderCSP). >> >> > Il y aura donc 2 moyen de les régler : about:config et 1 behavior >> pour >> >> les >> >> > plugins qui le prendront en compte. >> >> >> >> Je serais bien intéressé par un exemple pour le plugin mygmaps ;) >> >> >> >> >> >> -- >> >> Philippe >> >> -- >> >> Dev mailing list - [email protected] - >> >> http://ml.dotclear.org/listinfo/dev >> >> >> > >> > >> > >> > -- >> > >> > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) >> > -- >> > Dev mailing list - [email protected] - >> http://ml.dotclear.org/listinfo/dev >> -- >> Dev mailing list - [email protected] - >> http://ml.dotclear.org/listinfo/dev >> > > > > -- > > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) > -- Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
