davidbgk
/
larlet-fr-david
Watch 1
Star 0
Fork 0
Code Releases 0 Activity
Repository with sources and generator of https://larlet.fr/david/ https://larlet.fr/david/
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
295 Commits
1 Branch
Tree: 73d79c2fe1
Branches Tags
${ item.name }
Create branch ${ searchTerm }
from '73d79c2fe1'
${ noResults }
larlet-fr-david/david/stream/2015/07/14/index.md

index.md 933B
Raw Normal View History

Add initial content
4 years ago
 123456789 
  1. title: Headers et sécurité

  2. 

  3. Aujourd’hui, j’ai mis en place les *headers* [X-Frame-Options](https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options) et [Content-Security-Policy](https://developer.mozilla.org/en-US/docs/Web/Security/CSP/Introducing_Content_Security_Policy). Le premier limite l’usage des *iframes* sur vos contenus (et donc le *clickjacking* même si dans mon cas c’est limité), le second permet d’autoriser explicitement les images et media (par exemples) de sources distantes, ce qui est utile pour les articles [que je mets en cache](/david/stream/2015/01/05/) et accessoirement limiter les XSS.

  4. 

  5. Voici ce que ça donne pour une configuration Apache (ne pas oublier les `unsafe-*` si vous avez du contenu *inline*) :

  6. 

  7. 	:::shell

  8. 	Header always set X-Frame-Options SAMEORIGIN

  9. 	Header always set Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src *; media-src *"