Plop les gens, Alors effectivement des plugins tiers peuvent s'inviter et nécessiter un accès à des ressources externes, exemple mygmaps (merci Gvx pour le rapport).
Du coup j'ai implémenté des réglages qui permettent de désactiver les CSP côté admin et de compléter si besoin les directives (default, script, style et img). Si vous avez des domaines à ajouter (ex : maps.googleapis.com utilisé par le plugin mygmaps), ajoutez-les à la directive correspondance (séparez chaque domaine par une espace). En place dans la nightly de ce soir. Le 24 juillet 2016 à 08:00, Benoit GRELIER <adja...@orange.fr> a écrit : > Je n'ai pas trop le loisir de tester actuellement, mais après quelques > lecture sur le sujet ( très technique pour mon niveau de compréhension, par > exemple : > https://hacks.mozilla.org/2016/02/implementing-content-security-policy/ > ) je retiens que: > > _Il y a encore des bugs, > > _l’implémentation n'est pas simple et demande du temps. > > _Ce peut-être effectivement un bon outils de contrôle pour la phase de dev > d'une application et inciter à de bonnes pratiques. > > > > Coté admin pour dotclear, le fait d'ajout de plugins tiers plus ou moins > bien conçu ne risque-t-il pas de tout casser à l'affichage? > > Benoit. > > > > > > > Message du 23/07/16 19:43 > > De : "Franck Paul" > > A : "dev@list.dotclear.org" > > Copie à : > > Objet : Re: [Dotclear Dev] CSP côté admin > > > > Côté admin, je pense qu'on peut l'imposer. Par contre c'est côté public > ou il faudra permettre un réglage beaucoup plus fin ; mais j'ai mon idée à > ce sujet. Le 23 juillet 2016 à 14:51, Benoit GRELIER a écrit : > Je pence > que ce service devrait être optionnel ( sous forme de module > > activable/désactivable ) et non intégré en dur dans le code. > > > > > > > -- > Dev mailing list - Dev@list.dotclear.org - > http://ml.dotclear.org/listinfo/dev > -- Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) -- Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
