Ancestris - Forum

Ancestris Support => FRANÇAIS => Topic started by: bibi on October 11, 2021, 15:51:14

Title: rapport site et CSP
Post by: bibi on October 11, 2021, 15:51:14

Bonjour,

En 1er lieu, merci !!!!!!!!!!!!!!!
Sinon, j'utilise Ancestris et le rapport pour produire un site internet, auto-hébergé.
Je n'arrive pas à implémenter les CSP pour le site, au niveau de la carte générée avec l'aide d'Openstreetmap (la carte ne s'affiche pas).
Mon CSP dans Nginx : "add_header 'Content-Security-Policy' "default-src 'self';img-src 'self' a.tile.openstreetmap.fr/ b.tile.openstreetmap.fr/ c.tile.openstreetmap.fr/; script-src 'self' https://unpkg.com ; style-src 'self' https://unpkg.com";

Quelqu'un a-t-il réussi à contourner ce problème?
Avec script-inline et style-inline cela marche, mais bon question sécurité c'est pas le top.

Baptiste

Title: Re : rapport site et CSP
Post by: Zurga on October 11, 2021, 16:24:23

Dans l'état actuel du code, vous n'avez pas trop le choix.
La page de carto inclut du js directement dans le html (d'où le "script-src 'unsafe-inline'" obligatoire) et des balises style (d'où le "style-src 'unsafe-inline'" obligatoire).
On pourrait probablement faire mieux, mais cela n'a jamais été évoqué jusque-là.

Zurga

Title: Re: rapport site et CSP
Post by: bibi on October 11, 2021, 18:58:47

Ok, merci pour le retour.
Tant pis pour la carte en ligne ^^

Title: Re : rapport site et CSP
Post by: Zurga on October 11, 2021, 22:35:12

Attendez un peu avant de tout jeter.
Demain, le script ne devrait plus être "inline" sur la carte.

Pour le style, c'est un peu plus complexe, donc il faudrait laisser le "unsafe-inline" pour le moment.

Maintenant, je ne suis pas convaincu qu'on puisse réellement faire du mal avec un style.

Zurga