Project

General

Profile

Development #92079

entêtes CSP : permettre des URLs avec des chemins

Added by Thomas Noël (congés → 2 septembre) 27 days ago. Updated 22 days ago.

Status:
Solution proposée
Priority:
Normal
Category:
-
Target version:
-
Start date:
20 June 2024
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No

Description

Sur les sources qu'on autorise dans les CSP, on a https://git.entrouvert.org/entrouvert/hobo/src/branch/main/hobo/security/forms.py#L41 :

SOURCES = [
    "'self'",
    "'unsafe-eval'",
    "'unsafe-inline'",
    "'none'",
    'data:',
    re.compile(r'^\*(:?\.[0-9a-z-]+)*$'),
    re.compile(r'^[0-9a-z-]+(:?\.[0-9a-z-]+)+$'),
    re.compile(r'^https://\*(:?\.[0-9a-z-]+)*$'),
    re.compile(r'^https://[0-9a-z-]+(:?\.[0-9a-z-]+)+$'),
    re.compile(r'^https://\*(:?\.[0-9a-z-]+)*:[0-9]+$'),
    re.compile(r'^https://[0-9a-z-]+(:?\.[0-9a-z-]+)+:[0-9]$'),
]

Or, par exemple pour du report-uri, on devrait laisser passer les URL du genre https://xxxxxxx.report-uri.com/r/d/csp/reportOnly

Il faudrait adapter les expressions rationnelles listées pour cela.

History

#2

Updated by Thomas Noël (congés → 2 septembre) 27 days ago

À lire https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy, on peut dire qu'il faut aussi accepter les URL qui se terminent par un / (« Path parts in the CSP that end in / match any path they are a prefix of. For example, example.com/api/ will match URLs like example.com/api/users/new »)

#3

Updated by Benjamin Dauvergne 23 days ago

  • Assignee set to Benjamin Dauvergne
#4

Updated by Robot Gitea 23 days ago

  • Status changed from Nouveau to Solution proposée

Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :

#5

Updated by Robot Gitea 23 days ago

  • Status changed from Solution proposée to En cours

Thomas NOËL (tnoel) a relu et demandé des modifications sur une pull request sur Gitea concernant cette demande :

#6

Updated by Robot Gitea 22 days ago

  • Status changed from En cours to Solution proposée

Benjamin Dauvergne (bdauvergne) a demandé une relecture de Thomas NOËL (tnoel) sur une pull request sur Gitea concernant cette demande :

Also available in: Atom PDF