Plugin permettant de configurer une politique CSP dans SPIP
Switch branches/tags
Clone or download
Fetching latest commit…
Cannot retrieve the latest commit at this time.
Permalink
Type Name Latest commit message Commit time
Failed to load latest commit information.
action
base
formulaires
javascript
lang
prive
.gitignore
LICENSE
README.md
csp_administrations.php
csp_autorisations.php
csp_fonctions.php
csp_pipelines.php
paquet.xml

README.md

Plugin CSP pour SPIP 3

Ce plugin permettant de configurer une politique CSP dans SPIP.

CSP, Content Security Policy

CSP est un mécanisme de sécurité permettant de restreindre l'origine du contenu (tel qu'un script JavaScript, une feuille de style etc.) dans une page web à certains sites autorisés. Cela permet de mieux se prémunir d'une éventuelle faille XSS. (source Wikipédia

Tous les navigateurs web ne prennent pas en charge ce standard (voir Can I use).

Le principe de CSP est d'envoyer au navigateur une en-tête HTTP (Content-Security-Policy) indiquant les emplacements autorisés pour le chargement des resources (images, scripts, etc.).

Avancement

Actuellement, le plugin permet d'appliquer une politique CSP. Il faut pour cela aller dans le menu « Configuration », puis « Content Security Policy ».

Il est aussi possible d'activer un collecteur CSP depuis l'interface de configuration. Cela permet de consulter les violations de la politique de sécurité. Les données collectées sont disponibles dans le menu « Maintenance » puis « Rapports CSP ».

En savoir plus

Voici quelques sources / références à propos de CSP :