Rien d’original :
- Au début je met le moins possible d’autorisations
- Puis j’élargis quand ya besoin (par exemple ici j’ai ajouté
blob:
sur img-src
suite à l’upgrade de Bigup
).
- Mais d’abord, si possible, je supprime le besoin d’élargissement dans le code ou les squelettes. Comme je me prend pas trop longtemps la tête avec ça non plus, il reste des
unsafe
et des *.
Voici 2 exemples dans le .htaccess
, en ne laissant que les urls générales :
Header set Content-Security-Policy "base-uri 'self' ; default-src 'self' unsitepartenaire.com ; img-src * data: blob: ; script-src 'self' 'unsafe-inline' 'unsafe-eval' unsitepartenaire.com ; object-src 'none' ; style-src 'self' 'unsafe-inline' ; frame-src 'self' unautresitepartenaire.info player.vimeo.com www.youtube.com www.dailymotion.com www.google.com www.arteradio.com video.google.fr"
Header set Content-Security-Policy "base-uri 'self' ; default-src 'self' ; img-src * data: ; object-src 'self' ; script-src 'self' 'unsafe-inline' 'unsafe-eval' www.paypal.com ; style-src 'self' 'unsafe-inline' 'unsafe-eval' ; frame-src 'self' unsitepartenaire.fr www.paypal.com player.vimeo.com www.youtube.com www.youtube-nocookie.com www.dailymotion.com www.google.com www.arteradio.com video.google.fr unetripoteedesitespartenaires.ext www.francebleu.fr www.helloasso.com ; connect-src 'self' www.paypal.com ;"
C’est un peu risqué de modifier le htaccess en plugin.
Mais ç’avait déjà été fait par je ne sais plus quel plugin de cerdic.