Beaucoup oui, quoique comparé à la taille totale d'une page d'admin, ça ne
doit pas peser bien lourd dans les échanges avec le serveur.
Maintenant c'est aussi le prix à payer pour avoir une admin à peu près
sécurisée.
Quoi qu'il en soit, on peut aussi décider d'ici la sortie de la 2.10 de ne
pas activer par défaut les CSP. J'attends de faire le bilan de tous vos
retours pour décider.
2016-07-26 10:21 GMT+02:00 Philippe <phili...@dissitou.org>:
> Merci
>
> Avec ton code, l'API est bien chargée, mais pour faire tout
> fonctionner il m'a fallu en rajouter pas mal ! En effet il y a des tas
> de serveurs d'images et de scripts chez Google : le lecteur de
> fichiers kml, Street View, les tuiles de cartes, les icônes, etc.
>
> Plus les tuiles pour les cartes OpenStreetMap
>
> Pour l'instant, je ne suis pas encore sûr d'avoir tout, et il me
> faudra probablement surveiller si les serveurs changent (et comment
> ?), mais voici la fonction
>
> public static function adminPageHTTPHeaderCSP($csp)
> {
> if (isset($csp['default-src'])) {
> $csp['default-src'] .= ' fonts.gstatic.com';
> } else {
> $csp['default-src'] = 'fonts.gstatic.com';
> }
>
> if (isset($csp['script-src'])) {
> $csp['script-src'] .= ' maps.googleapis.com';
> } else {
> $csp['script-src'] = 'maps.googleapis.com';
> }
>
> if (isset($csp['img-src'])) {
> $csp['img-src'] .= ' maps.gstatic.com maps.googleapis.com
> csi.gstatic.com khms0.googleapis.com khms1.googleapis.com
> mts0.googleapis.com mts1.googleapis.com cbks0.googleapis.com
> cbks1.googleapis.com tile.openstreetmap.org';
> } else {
> $csp['img-src'] = 'maps.gstatic.com maps.googleapis.com
> csi.gstatic.com khms0.googleapis.com khms1.googleapis.com
> mts0.googleapis.com mts1.googleapis.com cbks0.googleapis.com
> cbks1.googleapis.com tile.openstreetmap.org';
> }
>
> if (isset($csp['style-src'])) {
> $csp['style-src'] .= ' fonts.googleapis.com';
> } else {
> $csp['style-src'] = 'fonts.googleapis.com';
> }
> }
>
> Ça ne fait pas un peu beaucoup ?
>
> :D
>
>
> --
> Philippe
>
>
> Le 26 juillet 2016 à 08:26, Franck Paul <carnet.franck.p...@gmail.com> a
> écrit :
> > Philippe, poyr mygmaps, dans _admin.php, quelque chose comme :
> >
> >
> $core->addBehavior('adminPageHTTPHeaderCSP',array('myAdminBehaviors','adminPageHTTPHeaderCSP'));
> >
> > class myAdminBehaviors
> > {
> > public static function adminPageHTMLHead($csp)
> > {
> > if (isset($csp['script-src'])) {
> > $csp['script-src'] .= ' maps.googleapis.com';
> > } else {
> > $csp['script-src'] = 'maps.googleapis.com';
> > }
> > }
> > }
> >
> > devrait faire l'affaire.
> >
> > Le 25 juillet 2016 à 17:50, Philippe <phili...@dissitou.org> a écrit :
> >
> >> Le 25 juillet 2016 à 11:29, Franck Paul <carnet.franck.p...@gmail.com>
> a
> >> écrit :
> >>
> >> > Je viens de reprendre un peu le code pour offrir aux plugins tiers
> >> > l'opportunité d'intégrer leur complément de directive CSP (behavior
> >> > adminPageHTTPHeaderCSP).
> >> > Il y aura donc 2 moyen de les régler : about:config et 1 behavior pour
> >> les
> >> > plugins qui le prendront en compte.
> >>
> >> Je serais bien intéressé par un exemple pour le plugin mygmaps ;)
> >>
> >>
> >> --
> >> Philippe
> >> --
> >> Dev mailing list - Dev@list.dotclear.org -
> >> http://ml.dotclear.org/listinfo/dev
> >>
> >
> >
> >
> > --
> >
> > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
> > --
> > Dev mailing list - Dev@list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
> --
> Dev mailing list - Dev@list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
--
Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
