Repository with sources and generator of https://larlet.fr/david/
https://larlet.fr/david/
Du kannst nicht mehr als 25 Themen auswählen
Themen müssen mit entweder einem Buchstaben oder einer Ziffer beginnen. Sie können Bindestriche („-“) enthalten und bis zu 35 Zeichen lang sein.
index.md 933B
index.md 933B
title: Headers et sécurité
Aujourd’hui, j’ai mis en place les headers X-Frame-Options et Content-Security-Policy. Le premier limite l’usage des iframes sur vos contenus (et donc le clickjacking même si dans mon cas c’est limité), le second permet d’autoriser explicitement les images et media (par exemples) de sources distantes, ce qui est utile pour les articles que je mets en cache et accessoirement limiter les XSS.
Voici ce que ça donne pour une configuration Apache (ne pas oublier les unsafe-* si vous avez du contenu inline) :
:::shell
Header always set X-Frame-Options SAMEORIGIN
Header always set Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src *; media-src *"