J’ai voulu bien faire, c’est humain, alors j’ai suivi les instructions et j’ai commencé à tester et … patatras, une avalanche de mail est arrivée dans ma boîte aux lettres, forcément !
J’avais codé ceci pour chaque ouverture de page de l’administration de Dotclear :
# Content-Security-Policy (report only up to now) header( "Content-Security-Policy: ". "default-src 'self' ; ". "report-uri ".DC_ADMIN_URL."csp_report.php" );
Depuis j’ai modifié ça, j’envoie les rapports dans un fichier texte, localement sur mon disque, c’est plus simple vu la quantité !
Quoi qu’il en soit, implémenter les CSP côté admin de Dotclear n’est pas de tout repos, surtout que ça ne fonctionne pas exactement comme la RFC l’indique, ou alors j’ai mal compris la RFC ce qui est dans l’ordre du possible. Mon réglage actuel (voir ci-dessous) n’empêche pas l’affichage de contenu en provenance de sites externes comme Youtube et consort, or ça devrait je pense, non ?
Pour l’instant j’en suis à ça :
# Content-Security-Policy (report only up to now) header( "Content-Security-Policy: ". "default-src 'self' ; ". "script-src 'self' 'unsafe-inline' 'unsafe-eval' ; ". "style-src 'self' 'unsafe-inline' ; ". "img-src 'self' data: ; ". "report-uri ".DC_ADMIN_URL."csp_report.php" );
Ce qui me gêne le plus, pour l’instant, est la source ‘unsafe-eval’ pour les scripts, mais CKEditor et quelques autres sont farcis d’appels à eval(), donc …
Ensuite il va falloir tester avec d’autres navigateurs que la dernière nightly de Firefox, et voir comment ça se comporte avec quelques plugins supplémentaires.
Une fois cette passe finie, il y aura encore la partie publique des blogs.