Je pence que ce service devrait être optionnel ( sous forme de module activable/désactivable ) et non intégré en dur dans le code.
> Message du 20/07/16 09:38 > De : "Franck Paul" > A : "dev@list.dotclear.org" > Copie à : > Objet : [Dotclear Dev] CSP côté admin > > Bonjour, Je vais intégrer les CSP (content security policies) côté admin et > en more reporting pour l'instant dans mon prochain commit (et donc dans la > nightly de la nuit prochaine). Ce système, à partir de PHP 5.4, devrait > produire en cas de violation de la directive, un rapport dans le fichier > texte /admin/csp_report.txt Pouvez-vous tester de votre côté cette prochaine > nightly, jouer un peu avec l'admin, et me retourner le contenu du fichier > csp_report.txt si jamais il était créé et pas vide ? À noter que cette > directive, si jamais elle était trop restrictive, peut assez vite foutre en > l'air une admin (et encore plus la partie publique d'un blog), c'est la > raison pour laquelle j'y vais doucement. Si tout va bien, on gardera les CSP > côté admin pour la 2.10, et je verrai comment gérer la partie publique > (largement plus complexe puisqu'on peut intégrer des éléments de sources > variées dans un blog). Vous ne savez pas ce que sont les CSP ? Eh bien prenez > 15 minutes pour visionner ceci → > https://www.paris-web.fr/2015/conferences/csp-content-security-policy.php À > vous lire… -- Franck — Operating Crocker’s rules > (http://sl4.org/crocker.html) -- Dev mailing list - Dev@list.dotclear.org - > http://ml.dotclear.org/listinfo/dev -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
