Bonjour,
Pour la définition les en-tête HTTP Content-Security-Policy permet de contrôler les ressources que l'utilisateur est autorisé à charger pour une page donnée. Bien qu'il y ait quelques exceptions, ces règles impliquent la plupart du temps de définir les origines du serveur et les points d'accès pour les scripts. Cet en-tête aide à se protéger contre les attaques de cross-site scripting (XSS). Source
Cela va peut-être poser des problèmes sur le forum dans les jours à venir, donc je compte sur vous pour me signaler les bugs d'affichage pour que je puisse affiner les règles CSP.
Pour infos les règles mises en place pour l'instant
add_header Content-Security-Policy "default-src 'self';
script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.mondedie.fr https://cdnjs.cloudflare.com https://www.google.com https://www.gstatic.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://cdnjs.cloudflare.com;
img-src * data:;
font-src 'self' https://fonts.gstatic.com;
connect-src 'self';
media-src 'self';
object-src 'self';
form-action 'self';
child-src *;
block-all-mixed-content;
Rappel pour afficher vos en-tête HTTP
curl -I https://mondedie.fr
Vous pouvez tester votre site ici
Le score de mondedie.fr pour l'instant B : https://securityheaders.io/?q=https%3A%2F%2Fmondedie.fr
Un outil pour tester vos règles CSP : https://csp-evaluator.withgoogle.com/