Dites les gens, une question pratique m’interroge de questionnement :
J’ai prévu, pour la 2.15 à venir, de virer la directive unsafe-inline pour les scripts (javascript donc) ; or je pense qu’il doit y avoir pas mal de plugins qui doivent encore, à ce jour, en tartiner plein le head, voire le body — j’en ai quelques uns dans ce cas, mais ils seront mis à jour le moment venu.
Du coup c’est peut-être un peu hardcore, non ?
Petit bémol cependant : si le plugin CKEditor est activé sur l’installation, il ajoute ce unsafe-inline à la directive, vu qu’il est incapable de tourner sans — côté CSS aussi d’ailleurs, c’est sale, mais c’est comme ça.
Du coup, si CKEditor est actif, et quelle que soit la page affichée, les scripts inline sont autorisés.
La question : est-ce que je laisse la suppression du unsafe-inline à la mise à jour, ou c’est trop risqué ?
Personnellement je penche plutôt pour la suppression, mais j’aimerais assez vos avis éclairés !
1 De Gilsoub -
Alors… heu… comment dire… En fait…
On va dire que vu que j’y pige que quick, je laisse la décision à ta sagacité. La seule chose que je peux dire, c’est que j’ai déjà deux ou trois Plug-in que j’aimais bien qui ne marche plus, alors si dans la mesure du possible il pouvait ne pas y en avoir d’autre ;-)
Et sinon merci ;-)
2 De Tomek -
Je ne saurais dire. Ça concerne uniquement les scripts en ligne ? Dans l’idéal il faudrait prévenir les auteurs de plugins pour voir s’ils peuvent les mettre à jour…
3 De Franck -
Ça concerne le javascript inséré directement dans le head ou dans le body, pas les plugins qui utilisent des scripts chargés à partir de fichiers externes.
D’ailleurs ça sera idem pour les styles…
Quant à prévenir les auteurs, si tu as une liste de mail à me fournir ;-)
4 De Franck -
En fait le problème se posera uniquement pour les blogs où CKEditor n’est pas activé du tout. Je me demande s’il en existe tant que ça ?
5 De mirovinben -
“Pas activé du tout “… Que veux-tu dire par là ?
6 De Tomek -
Pas activé = pas utilisé ? Ou autre option ?
7 De Franck -
mirovinben, soit désactivé dans la liste des plugins, soit désactivé pour le blog courant.
Tomek pas activé (cf ma réponse ci-dessus) ≠ pas utilisé. Pas utilisé n’implique pas qu’on désactive le plugin (en général ou pour un blog).
8 De Tomek -
Ok ! Du coup en effet, vu qu’il est installé et (il me semble) activé par défaut, il y a peu de risque.
9 De Franck -
Yup et si ça hurle je peux toujours coder vite fait un plugin qui active la directive en permanence ;-)
10 De Philippe -
J’ai deux plugins (ColorBox et mygmaps) qui insèrent des liens vers une feuille de style ou un script dans les pages publiques. Je suppose qu’ils ne seront pas affectés (?).
En revanche, mygmaps insère du javascript dans le contenu des billets. Que risque-t-il de se passer dans son cas ?
11 De Franck -
Ça ne concernera que l’admin, pas la partie publique des blogs — ça c’est pour plus tard. Donc a priori ça devrait rouler.
12 De olivier -
Sur mon blog principal, dcCKEditor n’est pas activé (il est installé, mais pas actif).
Je suis resté sur le plugin dcLegacyEditor.
13 De Franck -
En fait je pense que ça devrait aller quand même ; l’activation n’est pas requise (si je lis bien le code) ;-)
14 De Philippe -
Franck : si ça ne concerne que l’admin, le plugin mygmaps ajoute déjà les directives CSP kivonbien. Tu avais expliqué comment faire dans un billet sur le blog de dotclear.
J’avais craint, parce que lu trop vite, que les CSP allaient être appliquées côté public ;)
15 De Cunégonde -
Je viens de regarder, CKeditor est activer chez moi, pour le reste, comme je ne comprends pas, fait au mieux.
16 De Franck -
Merci tout le monde pour vos remarques et commentaires.
Je vais donc laisser en l’état — avec suppression de la directive — et comme CKEditor a l’air installé partout, ça devrait suffire pendant quelques versions (mineures).
17 De Pit -
J’aimerais tellement avoir un avis éclairé…
Désolé et merci.