CSP au bout du tunnel

j’arrive enfin au bout du tunnel en ce qui concerne la suppression de la direction unsafe-inline pour les scripts, et côté administration seulement — oui il y a encore pas mal de boulot pour le reste.

J’en ai profité pour ajouter un réglage, dans le plugin maintenance, qui permet d’activer et de désactiver les CSP pour le blog courant, et également de remettre aux valeurs par défaut tous les blogs de la plateforme. C’est toujours plus facile à utiliser que de passer par le about:config pour chacun des blogs — cela dit le système que j’ai intégré pour la 2.15 qui permet de rester, si possible, sur la page courante en cas de changement de blog facilite un peu les choses.

Reste encore à faire le nécessaire côté plugins — j’en ai déjà pas mal qui sont prêts pour la 2.15, mais pas tous — et également côté public.

Reste aussi à voir s’il y a moyen de virer le unsafe-inline pour les CSS, c’est moins urgent, mais ça serait pas mal non plus, histoire d’avoir du code à peu près élégant partout.

Bref, y’a encore du pain sur la planche…

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

Ajouter un rétrolien

URL de rétrolien : https://open-time.net/trackback/14238

Haut de page