Bonjour à tous,

Est-ce que quelqu’un pourrait m’expliquer comment intégrer une Content Security Policy ?

J‘ai lu pas mal d’article à ce sujet pour au final être complètement perdu..

Pour commencer, ou est-ce que je dois écrire cette ligne de code ? Sur Apache chez mon hébergeur ? dans un fichier php ? dans le head de mon code html ?

J’ai lu tout et rien et ça m’a perdu..

De plus, j'ai cette erreur dans ma console : The source list for Content Security Policy directive 'script-src' contains an invalid source: ''strict-dynamic''. It will be ignored.

Ce message a t'il un rapport avec le fait que je n'ai pas de Content Security Policy. Qu'est-ce que ça signifie ?

Merci

-
Edité par Coombaya 8 avril 2021 à 10:31:09

comment intégrer une Content Security Policy

En faisant retourner par ton serveur un en-tête Content-Security-Policy, ce qui implique de modifier la configuration d’Apache chez ton hébergeur.

The source list for Content Security Policy directive 'script-src' contains an invalid source: ''strict-dynamic''. It will be ignored.

Ce message indique que ton navigateur ne supporte pas la directive strict-dynamic de Content-Security-Policy. Si tu n’en as pas cela vient probablement d’une tierce-partie donc tu n’as pas à t’en soucier.

.

-
Edité par Jokoa 12 avril 2021 à 13:21:14

Je te remercie pour ta réponse.

J'ai plusieurs interrogations : Est-ce juste de dire que je ne dois avoir aucuns scripts dans ma page html de ce type : 

    <script>
      window.dataLayer = window.dataLayer || [];
      function gtag() {
        dataLayer.push(arguments);
      }
      gtag("js", new Date());

      gtag("config", "***");
    </script>

Ils doivent être dans des fichiers séparés si j'ai bien compris ?

Ensuite, voici ma façon de procéder dans les directives globales d'apache : 

<IfModule mod_headers.c>
 Header set Content-Security-Policy "script-src 'self' https://www.googletagmanager.com/gtag/js?id=G-***;https://www.google.com/recaptcha/api.js?render=***"
</IfModule>

Et j'obtiens ce message : 

Sinon j'ai voulu essayer l'outil de chrome qui propose de faire automatiquement le code et j'obtiens d'avantages de lignes: 

default-src 'self';
script-src 'report-sample' 'self' https://www.google.com/recaptcha/api.js https://www.googletagmanager.com/gtag/js https://www.gstatic.com/recaptcha/releases/***/recaptcha__fr.js;
style-src 'report-sample' 'self';
object-src 'none';
base-uri 'self';
connect-src 'self' https://www.google-analytics.com;
font-src 'self';
frame-src 'self' https://www.google.com;
img-src 'self' data:;
manifest-src 'self';
media-src 'self';
report-uri https://***.endpoint.csper.io/;
worker-src 'none';

mais voici ce que je vois quand je vais sur mon site : 

Connection to upstream skipped

C'est plus compliqué que ce que je pensais.. :/ 

Est-ce juste de dire que je ne dois avoir aucuns scripts dans ma page html de ce type

Tant que ton CSP n’indique pas unsafe-inline oui (ou que tu spécifies des nonces ou hashes).

j'obtiens ce message

Probablement parce que la query string ne devrait pas fait pas partie de la CSP.

Connection to upstream skipped

Tu as probablement mal configuré Apache.

J'ai indiqué unsafe-inline pour mes scripts présents dans le html

Par contre j'ai quand même ce message : 

"The source list for Content Security Policy directive 'script-src' contains an invalid source: ''strict-dynamic''. It will be ignored."

Voici à quoi ressemble ma CSP : 

<IfModule mod_headers.c>
 Header set Content-Security-Policy "script-src 'self' 'unsafe-inline' https://www.google.com/recaptcha/api.js https://www.googletagmanager.com https://www.gstatic.com"
</IfModule>

Une idée ?

-
Edité par Coombaya 13 avril 2021 à 19:51:16

MatTheCat a écrit:

The source list for Content Security Policy directive 'script-src' contains an invalid source: ''strict-dynamic''. It will be ignored.

Ce message indique que ton navigateur ne supporte pas la directive strict-dynamic de Content-Security-Policy. Si tu n’en as pas cela vient probablement d’une tierce-partie donc tu n’as pas à t’en soucier.

Ça signifie quoi «  ton navigateur ne supporte pas la directive strict-dynamic de Content-Security-Policy» ?

Je n’arrive pas à comprendre ce qu’est strict-dynamic en cherchant sur Google..

Et pourquoi j’ai ce message si je n’ai pas spécifié ce strict-dynamic, ça peut venir d’où ?

-
Edité par Coombaya 14 avril 2021 à 10:41:59