Dites les gens, une question pratique m’interroge de questionnement : J’ai prévu, pour la 2.15 à venir, de virer la directive unsafe-inline pour les scripts (javascript donc) ; or je pense qu’il doit y avoir pas mal de plugins qui doivent encore, à ce jour, en tartiner plein le head, voire le body […]
Mot-clé - sécurité
CSP mon amour
Toujours en train d’essayer de virer les unsafe-… des directives de Content-Security-Policy de l’admin de Dotclear, je m’arrache les cheveux avec un problème gênant que je ne m’explique pas et que d’ailleurs d’autres ne s’expliquent pas non plus ! Explications : Pour la médiathèque, on utilise un […]
Bénéfice secondaire
J’ai commencé à tester l’admin de la future 2.15 en enlevant le filtre unsafe-eval pour les scripts, vu que je suis en train de supprimer tout le javascript inline du code, et je suis tombé sur une erreur de typo, signalée par un rapport du système Content-Security-Policy (CSP). En effet, j’avais ce […]
Variables JS inline CSP compliant
Je viens de tester la technique de passage en JSON des variables attendues par un script JS ce matin — j’en parlais dans un de mes derniers billets — et ça fonctionne plutôt pas mal. Donc maintenant on pourrait, au lieu de définir des variables javascript de façon inline dans le <head> (ou […]
Faille de sécurité mineure
Encore une, du style : « Si vous avez le droit de vous connecter à l’admin de Dotclear et si vous avez le droit de déposer des fichiers, et si ce fichier est un fichier potentiellement critique (genre code javascript ou autre) et que si vous l’affichez ensuite côté public alors… ». Alors oui, j’ai […]