Project

General

Profile

Development #92078

entêtes CSP : ajouter la possibilité connect-src object-src (et d'autres ?)

Added by Thomas Noël (congés → 2 septembre) 23 days ago. Updated about 22 hours ago.

Status:
Résolu (à déployer)
Priority:
Normal
Category:
-
Target version:
-
Start date:
20 June 2024
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No

Description

Dans notre code https://git.entrouvert.org/entrouvert/hobo/src/branch/main/hobo/security/forms.py#L23 on autorise actuellement

HEADS = [
    'child-src',
    'default-src',
    'font-src',
    'frame-src',
    'img-src',
    'manifest-src',
    'media-src',
    'prefetch-src',
    'script-src',
    'style-src',
    'worker-src',
    'form-action',
    'frame-ancestors',
    'navigate-to',
    'report-uri',
]
Il faudrait ajouter les autres possibilités visibles sur https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy
  • connect-src
  • object-src
  • fenced-frame-src (?)
  • style-src-elem
  • style-src-attr

et peut-être d'autres (base-uri, sandbox, ...) mais je maitrise trop peu cette affaire pour dire.

La priorité de ce ticket c'est surtout connect-src et object-src

Associated revisions

Revision 07dd64ae (diff)
Added by Thomas Noël (congés → 2 septembre) about 22 hours ago

security: allow object-src and connect-src in CSP headers (#92078)

History

#2

Updated by Robot Gitea 19 days ago

  • Status changed from Nouveau to En cours
  • Assignee set to Thomas Noël (congés → 2 septembre)

Thomas NOËL (tnoel) a ouvert une pull request sur Gitea concernant cette demande :

#3

Updated by Robot Gitea 19 days ago

  • Status changed from En cours to Solution proposée
#4

Updated by Robot Gitea 19 days ago

  • Status changed from Solution proposée to Solution validée

Benjamin Dauvergne (bdauvergne) a approuvé une pull request sur Gitea concernant cette demande :

#5

Updated by Robot Gitea about 22 hours ago

  • Status changed from Solution validée to Résolu (à déployer)

Frédéric Péters (fpeters) a mergé une pull request sur Gitea concernant cette demande :

Also available in: Atom PDF