Bonjour !

Je travail actuellement avec Owncloud, un framework PHP. La configuration de ce dernier permet d'entrer des règles pour le "Content Security Policy".
Afin de conserver un minium de sécurité, j'aimerais conserver les paramètres par défaut mais uniquement autorisé tout ce qui provient de Google, notamment pour utiliser Google Map.

Voici la configuration du CSP par défaut:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
'custom_csp_policy' =>
	"default-src 'self'; script-src 'self' 'unsafe-eval'; ".
	"style-src 'self' 'unsafe-inline'; frame-src *; img-src *; ".
	"font-src 'self' data:; media-src *; connect-src *",
Voici ce que j'ai fait:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
'custom_csp_policy' =>
	"default-src 'self'; script-src 'self' maps.googleapis.com maps.gstatic.com; ".
	"style-src 'self' 'unsafe-inline'; frame-src *; img-src *; ".
	"font-src 'self' data:; media-src *; connect-src *",
Malgré ces deux URL autorisé, j'ai toujours des erreurs de pages bloquées et une erreur d'eval() qui est bloqué par le CSP.
Comment puis-je régler ce souci sans tout autoriser ?

EDIT: Je viens de trouver la solution:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
script-src 'self' 'unsafe-inline' https://*.googleapis.com https://maps.gstatic.com 'unsafe-eval'