Discussion :

[gotcha5832]

Bonjour a tous,

j'essaye de mettre en place l'instruction Content-Security-Policy

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://www.google.com www.google-analytics.com http://ajax.googleapis.com https://apis.google.com https://platform.twitter.com; child-src https://plusone.google.com https://facebook.com https://platform.twitter.com https://youtube.com; font-src https://themes.googleusercontent.com;"

Mais je me retrouve toujours avec le message d'erreur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Content Security Policy: Les paramètres de la page ont empêché le chargement d’une ressource à self (« script-src …)

Auriez vous une explication?

[mathieu]

avez-vous regardé avec la console de développement de votre navigateur si l'entête est bien présent dans le réponse ?

[gotcha5832]

Dans la réponse j'ai bien:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

default-src 'self'; script-src 'self' https://www.google.com www.google-analytics.com http://ajax.googleapis.com https://apis.google.com https://platform.twitter.com  http://assets.pinterest.com; child-src https://plusone.google.com https://facebook.com https://platform.twitter.com https://youtube.com; font-src https://themes.googleusercontent.com http://fonts.googleapis.com/;img-src 'self' data:;

On est d'accord le self suffit je n'ai pas besoin d'ajouter mon ip ou mon domaine?

[gotcha5832]

J'ai trouvé il me manquait l'instruction 'unsafe-inline'