spip-contrib-extensions/waf
Par pierretux, le 20 avril 2026 à 13h00min :
fix: sécurité — blacklist directe, CSRF et CSP sur le formulaire de déblock, cohérence APCu
- Les IPs en blacklist manuelle reçoivent un 403 direct (sans formulaire de
déblock) — cohérent avec le check blocklist public. - Ajout CSRF sur le formulaire de déblock : nonce aléatoire en cookie
SameSite=Strict, vérifié avant le token d’unblock. - Ajout Content-Security-Policy sur les pages de blocage (default-src ‹ none ›,
style-src ‹ unsafe-inline ›, form-action ‹ / ›, frame-ancestors ‹ none ›). - waf_ti_build_merged_list utilise _WAF_APCU au lieu de function_exists()
directement, avec fallback si la constante n’est pas encore définie.
Modifié
waf_fonctions.php