Discussion :

[Scam34080]

Bonjour,

Je teste actuellement Wordpress et je regarde coté sécurité divers articles.

Il est dit qu'il faut mettre le code suivant dans son htaccess

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<IfModule mod_headers.c>
Header set Content-Security-Policy` "script-src 'self'; object-src 'self'"
<FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|topojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|webmanifest|woff2?|xloc|xml|xpi)$">
Header unset Content-Security-Policy
</IfModule>

Pouvez vous m'expliquer un peu le principe (simplement), car les articles que je trouve sont très complexe... pour un simple utilisateur de wordpress.

[Scam34080]

Surtout qu'avec la ligne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|topojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|webmanifest|woff2?|xloc|xml|xpi)$">

j'ai une erreur 500 Internal Server Error

Sans la ligne le site fonctionne mais "Content Security Policy (CSP) header not implemented", il doit me manquer quelque chose lol

[Invité]

Peut être que mettre en place une solution de Hotlinking complète la CSP.
Cela évite de compliquer la CSP qui reste à self, sans préciser le type de fichiers.

La solution de Hotlinking empêchera d'afficher le contenu depuis un autre site ( Sauf si le header est modifié ).