Bonjour, Je vais intégrer les CSP (content security policies) côté admin et en more reporting pour l'instant dans mon prochain commit (et donc dans la nightly de la nuit prochaine). Ce système, à partir de PHP 5.4, devrait produire en cas de violation de la directive, un rapport dans le fichier texte /admin/csp_report.txt
Pouvez-vous tester de votre côté cette prochaine nightly, jouer un peu avec l'admin, et me retourner le contenu du fichier csp_report.txt si jamais il était créé et pas vide ? À noter que cette directive, si jamais elle était trop restrictive, peut assez vite foutre en l'air une admin (et encore plus la partie publique d'un blog), c'est la raison pour laquelle j'y vais doucement. Si tout va bien, on gardera les CSP côté admin pour la 2.10, et je verrai comment gérer la partie publique (largement plus complexe puisqu'on peut intégrer des éléments de sources variées dans un blog). Vous ne savez pas ce que sont les CSP ? Eh bien prenez 15 minutes pour visionner ceci → https://www.paris-web.fr/2015/conferences/csp-content-security-policy.php À vous lire… -- Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
