CSP sucks

Je pensais benoîtement pouvoir venir à bout du serrage de boulon côté CSP, sauf que voilà, pas moyen de virer les trucs un peu sensible, aka unsafe-inline et unsafe-eval de la directive associée aux scripts !

Le mis en cause : CKEditor, m’sieurs-dames.

Il se trouve que la version 4 n’est pas compatible avec des CSP correctement verrouillées, au moins dans la version 4, quant à la version 5 de l’éditeur, toute l’architecture a changé, plugins compris et je ne vais pas me lancer dans une refonte complète juste pour ça.

Au passage j’ai aussi constaté qu’il en sera de même pour les styles, l’éditeur insérant des styles inline, on ne va pas pouvoir virer le unsafe-inline de la directive associée.

Donc finalement on va garder les directives telles qu’elles existent dans la 2.14.

Cela étant je trouve que la nouvelle façon de mettre en place les variables et fonctions javascript plus élégante qu’auparavant — le code PHP est largement plus lisible — et je vais propager ça à tout ce qui reste encore à faire…

Intégration continue

Versions de Dotclear jusqu'à la 2.14.3

C’est bien un truc dans lequel je mettrais bien mon nez, pourquoi pas pour Dotclear, en intégrant les tests (unitaires et fonctionnels), et les générations quotidiennes des versions de test. Reste à voir ce que je peux mettre en place qui soit compatible avec l’environnement existant… Au fait, vous  […]

Lire la suite

Haut de page