CSP encore

Dites les gens, une question pratique m’interroge de questionnement :

J’ai prévu, pour la 2.15 à venir, de virer la directive unsafe-inline pour les scripts (javascript donc) ; or je pense qu’il doit y avoir pas mal de plugins qui doivent encore, à ce jour, en tartiner plein le head, voire le body — j’en ai quelques uns dans ce cas, mais ils seront mis à jour le moment venu.

Du coup c’est peut-être un peu hardcore, non ?

Petit bémol cependant : si le plugin CKEditor est activé sur l’installation, il ajoute ce unsafe-inline à la directive, vu qu’il est incapable de tourner sans — côté CSS aussi d’ailleurs, c’est sale, mais c’est comme ça.

Du coup, si CKEditor est actif, et quelle que soit la page affichée, les scripts inline sont autorisés.

La question : est-ce que je laisse la suppression du unsafe-inline à la mise à jour, ou c’est trop risqué ?

Personnellement je penche plutôt pour la suppression, mais j’aimerais assez vos avis éclairés !

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

Ajouter un rétrolien

URL de rétrolien : https://open-time.net/trackback/14246

Haut de page