HEADER CSP

Franck TUTICCI partagé ce idée il y a 7 années
En analyse

Bonsoir Madame Monsieur,

J'aimerais avoir votre avis sur l'en-tête CSP pour mon site web. J'ai mis la ligne de commande dans le fichier .htaccess: Header set Content-Security-Policy: "script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline' ;object-src 'none' ; base-uri 'self'".

J'ai mis script-src unsafe-inline parce que j'ai en bas de toutes les pages un script en ligne celui du bandeau de cookie du CNIL. Ma question est celle-ci dois-je laisser le CSP ou le supprimer du .htaccess ?Jai' vu sur divers forum qu'il existe nonce et hach mais cela est très lourd à gérer.

Poster un commentaire