Je pensais benoîtement pouvoir venir à bout du serrage de boulon côté CSP, sauf que voilà, pas moyen de virer les trucs un peu sensible, aka unsafe-inline et unsafe-eval de la directive associée aux scripts !
Le mis en cause : CKEditor, m’sieurs-dames.
Il se trouve que la version 4 n’est pas compatible avec des CSP correctement verrouillées, au moins dans la version 4, quant à la version 5 de l’éditeur, toute l’architecture a changé, plugins compris et je ne vais pas me lancer dans une refonte complète juste pour ça.
Au passage j’ai aussi constaté qu’il en sera de même pour les styles, l’éditeur insérant des styles inline, on ne va pas pouvoir virer le unsafe-inline de la directive associée.
Donc finalement on va garder les directives telles qu’elles existent dans la 2.14.
Cela étant je trouve que la nouvelle façon de mettre en place les variables et fonctions javascript plus élégante qu’auparavant — le code PHP est largement plus lisible — et je vais propager ça à tout ce qui reste encore à faire…
