Discussion :

[boteha]

Bonjour,

Pour un site grand public il me semble utile de mettre en œuvre Content Security Policy

C'est assez facile avec le .htaccess.

Par contre sur le site qui m'intéresse il reste des css inline (dans le head sous balise <style>).
Ce sont des css dynamiques générés côté serveur.
Cela me semble affreusement lourd de créer ces css dynamiques sous forme de feuilles de style externes, surtout en termes de maintenance car l'ajout d'un produit dans la base peut avoir un impact sur ces css.

Ma question est donc de savoir comment tout interdire avec CSP sauf les css inline.

J'ai cherché sur le Web, CSP ne manque pas de ressources mais pas toujours très claires sur le sujet évoqué.

[mathieu]

je n'ai pas compris pourquoi vous ne voulez pas mettre ces morceaux de code CSS dans des fichiers ou requêtes HTTP séparées ?

[boteha]

Quelques déclarations dépendent du contenu et sont créées de façon dynamique côté serveur.