Discussion :

[steve348]

Bonjour,

Je voulais mettre un peu de sécurité sur mon blog en utilisant : Content-Security-Policy

j'ai vu que pour laisser s'activer les scripts et style on devait créer une nonce

J'ai donc tenté cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$nonce = base64_encode(openssl_random_pseudo_bytes(32));

Côté pratique cela fonctionne le style en ligne fonctionne....

Mais côté technique cela me donne un message d'alerte en utilisant le validateur w3c

Content-Security-Policy HTTP header: Bad content security policy: Invalid base64-value (should be multiple of 4 bytes: 6).

Pouvez-vous m'expliquer comment faire une nonce compatible et valide ?

Merci à tous

[JKane]

Salut,

Je sais pas si ça peut aider, si c'est çela, il parait qu'il faut tronquer le résultat :

http://www.phpddt.com/manual/php/res...udo-bytes.html

function generatePassword($length = 24) {
if(function_exists('openssl_random_pseudo_bytes')) {
$password = base64_encode(openssl_random_pseudo_bytes($length, $strong));
if($strong == TRUE)
return substr($password, 0, $length); //base64 is about 33% longer, so we need to truncate the result
}

[steve348]

Tronquer ok mais à combien... j'ai testé plein de valeurs (multiples de 4) mais cela ne fonctionne jamais j'ai toujours le message

Content-Security-Policy HTTP header: Bad content security policy: Invalid base64-value (should be multiple of 4 bytes: 6).

[transgohan]

Tu as du mal le faire, le message t'indique que tu as 6 octets.
Il suffit de le tronquer à 4.

A tout hasard, vérifies que tu n'as pas un retour à la ligne qui se serait rajouté aussi... \r\n cela fait pile deux octets.

[steve348]

Bon ca avance lol merci a tous pour vos réponses...

Avec ça :

<meta http-equiv="Content-Security-Policy" content="default-src; style-src 'self' 'nonce-KHUMe5b0bJMdr5x3p/wQk78VkdfL8RMYpzte1Ffp2Os='">

et ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<style type="text/css" nonce="KHUMe5b0bJMdr5x3p/wQk78VkdfL8RMYpzte1Ffp2Os=">

Ma feuille de style se lance sur Chrome, firefox, et même sur IE

Mais

pas sur Internet EDGE...

quelqu'un à t il une idée ou solution ?