Est-ce qu'il y en a parmi nous qui se sont collés à la gestion des "CSP" ?
Pour ceux qui ne connaissent pas :
-
http://content-security-policy.com/-
https://hacks.mozilla.org/2016/02/imple … ty-policy/Pour mon "renouveau" site d'
écrits, j'essaye des les implémenter, pour nginx, telle que :
add_header Content-Security-Policy "default-src 'self'; font-src 'self' https://fonts.googleapis.com ; form-action 'self'; frame-ancestors 'self'; img-src 'self'; sandbox allow-same-origin; script-src 'self' https://cdnjs.cloudflare.com https://netdna.bootstrapcdn.com; style-src 'self' https://cdnjs.cloudflare.com;" always;
Sans, j'ai bien mon image de fond qui s'affiche, et le site récupère bien les différentes scripts css, js, dont il a besoin !
Avec ... c'est quasiment page blanche ! Booo ...