Mot-clé - sécurité

Fil des billets - Fil des commentaires

CSP mon amour

Toujours en train d’essayer de virer les unsafe-… des directives de Content-Security-Policy de l’admin de Dotclear, je m’arrache les cheveux avec un problème gênant que je ne m’explique pas et que d’ailleurs d’autres ne s’expliquent pas non plus ! Explications : Pour la médiathèque, on utilise un  […]

Lire la suite

Bénéfice secondaire

J’ai commencé à tester l’admin de la future 2.15 en enlevant le filtre unsafe-eval pour les scripts, vu que je suis en train de supprimer tout le javascript inline du code, et je suis tombé sur une erreur de typo, signalée par un rapport du système Content-Security-Policy (CSP). En effet, j’avais ce  […]

Lire la suite

Variables JS inline CSP compliant

Je viens de tester la technique de passage en JSON des variables attendues par un script JS ce matin — j’en parlais dans un de mes derniers billets — et ça fonctionne plutôt pas mal. Donc maintenant on pourrait, au lieu de définir des variables javascript de façon inline dans le <head> (ou  […]

Lire la suite

Faille de sécurité mineure

Encore une, du style : « Si vous avez le droit de vous connecter à l’admin de Dotclear et si vous avez le droit de déposer des fichiers, et si ce fichier est un fichier potentiellement critique (genre code javascript ou autre) et que si vous l’affichez ensuite côté public alors… ». Alors oui, j’ai  […]

Lire la suite

Haut de page