Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Ajuste la CSP pour renforcer la sécurité #1294

Draft
wants to merge 16 commits into
base: main
Choose a base branch
from
Draft

Ajuste la CSP pour renforcer la sécurité #1294

wants to merge 16 commits into from

Conversation

goulvench
Copy link
Collaborator

En corrigeant l'affichage des prévisualisation de mails, j'ai constaté que la CSP pouvait être améliorée.
Exemple : par défaut, les sources self et https étaient autorisées pour les scripts, les polices, et les CSS. Ce n'était pas nécessaire. Il était également possible de rajouter une balise base, ou encore d'inclure le site dans un frameset.

  • Empêcher l'exécution des scripts externes (sauf explicitement autorisés)
  • Interdire les polices et styles externes
  • Interdire l'affichage dans un frameset
  • Supprime l'exception pour la source Loom
  • Interdit la manipulation de la base URI
  • Interdit l'envoi de formulaires vers des sites externes
  • Active les en-têtes Permissions et Features policy
  • Renforce la sécurité des cookies

Référence

Score Mozilla HTTP Observatory avant intervention : B+ (80%)

Score Mozilla Observatory 25 juin 2024 avant intervention
Résultats Mozilla Observatory 25 juin 2024 avant intervention

@goulvench goulvench force-pushed the feature/ajustement-csp-pour-renforcer-la-securite branch 2 times, most recently from d794e87 to 892d449 Compare June 27, 2024 07:07
@goulvench
Interdit l'exécution des scripts externes, sauf stats
d893233
@goulvench
Interdit le chargement de polices externes
822bbda
@goulvench
Interdit l'affichage dans un frameset
77d6f66
@goulvench
Interdit l'affichage de vidéos depuis Loom
54f0c6b 
La dernière vidéo loom a été remplacée en février (commit 61ad82e)
@goulvench
Autorise la connection à Vite via WS et HTTP en dev
b099ae7
@goulvench
Interdit la manipulation de base URI
1a75ee0
@goulvench
Whitespace
bb472aa
@goulvench
Interdit l'envoi de formulaires vers d'autres sites
57329b4
@goulvench
Active les en-têtes Permissions-Policy et Feature-Policy
9352b1c
@goulvench
Renforce la sécurité des cookies
6ba83fc
@goulvench
Sécurise les cookies
ba55453 
https://www.sjoerdlangkemper.nl/2017/02/09/cookie-prefixes/
@goulvench
Renforce la sécurité en bloquant tout par défaut dans la CSP
3c6aacd 
Autoriser chaque source individuellement.
@goulvench
Supprime le https des sources de styles autorisées
7d3e678
@goulvench
Met à jour le readme concernant les CSP
07e3d31
@goulvench
Configure HSTS pour un an minimum
1fe5e07
@goulvench
Autorise la CSP à afficher le guide PDF
e0704b9
@goulvench goulvench force-pushed the feature/ajustement-csp-pour-renforcer-la-securite branch from f6402e7 to e0704b9 Compare June 28, 2024 06:27
@goulvench goulvench marked this pull request as draft July 1, 2024 07:14
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Reviewers
No reviews
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

Successfully merging this pull request may close these issues.
1 participant
@goulvench