Author Topic: rapport site et CSP  (Read 466 times)

0 Members and 1 Guest are viewing this topic.

Offline bibi

  • VIP
  • Newbie
  • *
  • Posts: 4
    • View Profile
rapport site et CSP
« on: October 11, 2021, 15:51:14 »
Bonjour,

En 1er lieu, merci !!!!!!!!!!!!!!!
Sinon, j'utilise Ancestris et le rapport pour produire un site internet, auto-hébergé.
Je n'arrive pas à implémenter les CSP pour le site, au niveau de la carte générée avec l'aide d'Openstreetmap (la carte ne s'affiche pas).
Mon CSP dans Nginx : "add_header 'Content-Security-Policy' "default-src 'self';img-src 'self' a.tile.openstreetmap.fr/ b.tile.openstreetmap.fr/ c.tile.openstreetmap.fr/; script-src 'self' https://unpkg.com ; style-src 'self' https://unpkg.com";

Quelqu'un a-t-il réussi à contourner ce problème?
Avec script-inline et style-inline cela marche, mais bon question sécurité c'est pas le top.

Baptiste

Offline Zurga

  • VIP
  • Supernatural Member
  • *
  • Posts: 2 641
    • View Profile
Re : rapport site et CSP
« Reply #1 on: October 11, 2021, 16:24:23 »
Dans l'état actuel du code, vous n'avez pas trop le choix.
La page de carto inclut du js directement dans le html (d'où le "script-src 'unsafe-inline'" obligatoire) et des balises style (d'où le "style-src 'unsafe-inline'" obligatoire).
On pourrait probablement faire mieux, mais cela n'a jamais été évoqué jusque-là.

Zurga


Offline bibi

  • VIP
  • Newbie
  • *
  • Posts: 4
    • View Profile
Re: rapport site et CSP
« Reply #2 on: October 11, 2021, 18:58:47 »
Ok, merci pour le retour.
Tant pis pour la carte en ligne ^^

Offline Zurga

  • VIP
  • Supernatural Member
  • *
  • Posts: 2 641
    • View Profile
Re : rapport site et CSP
« Reply #3 on: October 11, 2021, 22:35:12 »
Attendez un peu avant de tout jeter.
Demain, le script ne devrait plus être "inline" sur la carte.

Pour le style, c'est un peu plus complexe, donc il faudrait laisser le "unsafe-inline" pour le moment.

Maintenant, je ne suis pas convaincu qu'on puisse réellement faire du mal avec un style.

Zurga