diff options
| author | SphinxKnight <SphinxKnight@users.noreply.github.com> | 2021-09-17 20:08:55 +0200 |
|---|---|---|
| committer | GitHub <noreply@github.com> | 2021-09-17 20:08:55 +0200 |
| commit | 3518481e9190f19bbf81741704f45cb3c1761758 (patch) | |
| tree | e193ecaaa6409ff76f11d807a00e686e2d51b3a9 /files/fr/web/http/headers/content-security-policy | |
| parent | 6eb505d82279a26570d00a4488ccf6d7921d8ec6 (diff) | |
| download | translated-content-3518481e9190f19bbf81741704f45cb3c1761758.tar.gz translated-content-3518481e9190f19bbf81741704f45cb3c1761758.tar.bz2 translated-content-3518481e9190f19bbf81741704f45cb3c1761758.zip | |
Prepare HTTP section for Markdown conversion (#2453)
* Remove summary classes
* Remove hidden blocks
* Remove id when not in headings
* Remove notranslate
* remove unecessary ltr dir
* Remove spans from automatic translation tool copy/paste
* Remove unhandled pe brush for plain text
* make consistent notes
* make consistent warning + rm rfc class
* fix one-offs and images + spans
* fix dls and subsequent oneoff errors
* fix sups
Diffstat (limited to 'files/fr/web/http/headers/content-security-policy')
32 files changed, 171 insertions, 196 deletions
diff --git a/files/fr/web/http/headers/content-security-policy/base-uri/index.html b/files/fr/web/http/headers/content-security-policy/base-uri/index.html index 018167226e..714cfb2f7b 100644 --- a/files/fr/web/http/headers/content-security-policy/base-uri/index.html +++ b/files/fr/web/http/headers/content-security-policy/base-uri/index.html @@ -37,7 +37,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/base-uri <p>Une ou plusieurs <em>sources</em> peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: base-uri <source>; +<pre class="syntaxbox">Content-Security-Policy: base-uri <source>; Content-Security-Policy: base-uri <source> <source>; </pre> @@ -51,23 +51,23 @@ Content-Security-Policy: base-uri <source> <source>; <h3 id="Configuration_par_balise_<meta>">Configuration par balise <meta></h3> -<pre class="brush: html notranslate"><meta http-equiv="Content-Security-Policy" content="base-uri 'self'"></pre> +<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="base-uri 'self'"></pre> <h3 id="Configuration_par_Apache">Configuration par Apache</h3> -<pre class="brush: bash notranslate"><IfModule mod_headers.c> +<pre class="brush: bash"><IfModule mod_headers.c> Header set Content-Security-Policy "base-uri 'self'"; </IfModule></pre> <h3 id="Configuration_par_Nginx">Configuration par Nginx</h3> -<pre class="brush: bash notranslate">add_header Content-Security-Policy "base-uri 'self';"</pre> +<pre class="brush: bash">add_header Content-Security-Policy "base-uri 'self';"</pre> <h3 id="Cas_de_violation">Cas de violation</h3> <p>À partir du moment où votre domaine n'est pas <code>example.com</code>, un élément {{HTMLElement("base")}} avec son attribut <code>href</code> défini à <code>https://example.com</code> résultera en une violation de CSP.</p> -<pre class="brush: html; example-bad notranslate"><meta http-equiv="Content-Security-Policy" content="base-uri 'self'"> +<pre class="brush: html; example-bad"><meta http-equiv="Content-Security-Policy" content="base-uri 'self'"> <base href="https://example.com/"> // Error: Refused to set the document's base URI to 'https://example.com/' diff --git a/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.html b/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.html index 1d5670728a..92897ebaf9 100644 --- a/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.html +++ b/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.html @@ -15,28 +15,28 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/block-all-mixed-content --- <div>{{HTTPSidebar}}</div> -<p><span class="seoSummary">La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>block-all-mixed-content</strong></code> bloque le chargement de ressources via HTTP lorsque la page utilise HTTPS.</span></p> +<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>block-all-mixed-content</strong></code> bloque le chargement de ressources via HTTP lorsque la page utilise HTTPS.</p> <p>Toutes les requêtes vers des <a href="/fr/docs/Sécurité/MixedContent">contenus mixtes</a> sont alors bloquées, y compris les ressources actives et passives. Cela s'applique aussi aux documents {{HTMLElement("iframe")}}, assurant que la page est complètement protégée contre les contenus mixtes.</p> -<div class="blockIndicator note"> -<p>Note : La directive {{CSP("upgrade-insecure-requests")}} est évaluée avant <code>block-all-mixed-content</code>. Si elle est définie, alors <code>block-all-mixed-content</code> n'est pas nécessaire, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.</p> +<div class="note"> +<p><strong>Note :</strong> La directive {{CSP("upgrade-insecure-requests")}} est évaluée avant <code>block-all-mixed-content</code>. Si elle est définie, alors <code>block-all-mixed-content</code> n'est pas nécessaire, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.</p> </div> <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Security-Policy: block-all-mixed-content;</pre> +<pre class="syntaxbox">Content-Security-Policy: block-all-mixed-content;</pre> <h2 id="Exemples">Exemples</h2> -<pre class="notranslate">Content-Security-Policy: block-all-mixed-content; +<pre>Content-Security-Policy: block-all-mixed-content; <meta http-equiv="Content-Security-Policy" content="block-all-mixed-content"> </pre> <p>Pour interdire l'usage de HTTP de manière plus fine, vous pouvez aussi configurer individuellement chaque directive sur <code>https:</code>. Par exemple, pour interdire les images HTTP non sécurisées :</p> -<pre class="notranslate">Content-Security-Policy: img-src https:</pre> +<pre>Content-Security-Policy: img-src https:</pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/child-src/index.html b/files/fr/web/http/headers/content-security-policy/child-src/index.html index 09f25eb420..8cf2d1ab7a 100644 --- a/files/fr/web/http/headers/content-security-policy/child-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/child-src/index.html @@ -39,7 +39,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/child-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: child-src <source>; +<pre class="syntaxbox">Content-Security-Policy: child-src <source>; Content-Security-Policy: child-src <source> <source>; </pre> @@ -53,11 +53,11 @@ Content-Security-Policy: child-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: child-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: child-src https://example.com/</pre> <p>Cet {{HTMLElement("iframe")}} et ce worker seront bloqués et ne se chargeront pas :</p> -<pre class="brush: html notranslate"><iframe src="https://not-example.com"></iframe> +<pre class="brush: html"><iframe src="https://not-example.com"></iframe> <script> var blockedWorker = new Worker("data:application/javascript,..."); diff --git a/files/fr/web/http/headers/content-security-policy/connect-src/index.html b/files/fr/web/http/headers/content-security-policy/connect-src/index.html index 9914f70cf4..845f46f7b0 100644 --- a/files/fr/web/http/headers/content-security-policy/connect-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/connect-src/index.html @@ -27,7 +27,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/connect-src </ul> <div class="note"> -<p><strong>Note:</strong> <code>connect-src 'self'</code> ne s'applique pas aux schémas de websocket pour tous les navigateurs. Pour plus d'informations, consulter : <a href="https://github.com/w3c/webappsec-csp/issues/7">https://github.com/w3c/webappsec-csp/issues/7</a>.</p> +<p><strong>Note :</strong> <code>connect-src 'self'</code> ne s'applique pas aux schémas de websocket pour tous les navigateurs. Pour plus d'informations, consulter : <a href="https://github.com/w3c/webappsec-csp/issues/7">https://github.com/w3c/webappsec-csp/issues/7</a>.</p> </div> <table class="properties"> @@ -51,7 +51,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/connect-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: connect-src <source>; +<pre class="syntaxbox">Content-Security-Policy: connect-src <source>; Content-Security-Policy: connect-src <source> <source>; </pre> @@ -65,11 +65,11 @@ Content-Security-Policy: connect-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: connect-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: connect-src https://example.com/</pre> <p>Les connexions suivantes seront bloquées et ne se chargeront pas :</p> -<pre class="brush: html notranslate"><a ping="https://not-example.com"> +<pre class="brush: html"><a ping="https://not-example.com"> <script> var xhr = new XMLHttpRequest(); diff --git a/files/fr/web/http/headers/content-security-policy/default-src/index.html b/files/fr/web/http/headers/content-security-policy/default-src/index.html index 4111dc6de1..9f2d9d6cb8 100644 --- a/files/fr/web/http/headers/content-security-policy/default-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/default-src/index.html @@ -16,7 +16,9 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/default-src --- <div>{{HTTPSidebar}}</div> -<p><span class="seoSummary">La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>default-src</code></strong> sert de valeur par défaut pour les autres directives CSP {{Glossary("fetch directive", "fetch directives")}}.</span> Pour chacune des directives suivantes, l'agent utilisateur consultera la directive <code>default-src</code> et utilisera sa valeur pour la directive demandée si celle-ci est absente :</p> +<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>default-src</code></strong> sert de valeur par défaut pour les autres directives CSP {{Glossary("fetch directive", "fetch directives")}}.</p> + +<p>Pour chacune des directives suivantes, l'agent utilisateur consultera la directive <code>default-src</code> et utilisera sa valeur pour la directive demandée si celle-ci est absente :</p> <ul> <li>{{CSP("child-src")}}</li> @@ -54,13 +56,12 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/default-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: default-src <source>; +<pre class="syntaxbox">Content-Security-Policy: default-src <source>; Content-Security-Policy: default-src <source> <source>; </pre> <h3 id="Sources">Sources</h3> -<div id="common_sources"> <p>La <source> peut être une des suivantes :</p> <dl> @@ -87,7 +88,7 @@ Content-Security-Policy: default-src <source> <source>; <dd>Cette valeur fait référence au domaine dont est originaire le document protégé, y compris le protocole et le numéro de port. Vous devez mettre cette valeur entre guillemets. Certains navigateurs excluent spécifiquement les valeurs <code>blob</code> et <code>filesystem</code> des directives de source. Les sites nécessitant une permission pour ces types de contenu peuvent les spécifier en utilisant l'attribut Data.</dd> <dt><code>'unsafe-eval'</code></dt> <dd>Permet l'usage de la fonction <code>eval()</code> et de méthodes similaires pour créer du code à partir de chaines de caractères. Vous devez mettre cette valeur entre guillemets.</dd> - <dt id="unsafe-hashes"><code>'unsafe-hashes'</code></dt> + <dt><code>'unsafe-hashes'</code></dt> <dd>Permet l'usage de certains <a href="/en-US/docs/Web/Guide/Events/Event_handlers">écouteurs d'évènements</a> par attributs. Si vous n'avez besoin que d'écouteurs d'évènements par attributs et non d'éléments {{HTMLElement("script")}} embarqués ou d'URL <code>javascript:</code>, cette valeur est plus sécurisée que <code>unsafe-inline</code>.</dd> <dt><code>'unsafe-inline'</code></dt> <dd>Permet l'usage de ressources embarquées, tels que des éléments {{HTMLElement("script")}} (sans <code>src</code>), d'URL <code>javascript:</code>, de gestionnaire d'évènement par attributs (<code>on<eventName></code>), et d'éléments {{HTMLElement("style")}}. Vous devez mettre cette valeur entre guillemets.</dd> @@ -97,22 +98,12 @@ Content-Security-Policy: default-src <source> <source>; <dd>Une liste de permissions pour des scripts embarqués spécifiques en utilisant un nonce (<em>number used once</em>, nombre à usage unique) cryptographique. Le serveur doit générer un nonce à chaque fois qu'il transmet une réponse. Il est extrèmement important de fournir des nonces non prédictibles, puisque le contraire permettrait aisément de contourner la stratégie de sécurité. Voir <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#Unsafe_inline_script">inline script non fiables</a> pour avoir un exemple. Spécifier un nonce implique que les navigateurs modernes ignoreront la valeur <code>'unsafe-inline'</code>, qui peut toutefois être laissée pour les anciens navigateurs ne supportant pas les nonces.</dd> <dt>'<hash-algorithm>-<base64-value>'</dt> <dd>Un hash sha256, sha384 ou sha512 d'un <code><script></code> ou d'un <code><style></code>. Cette source est composée de deux parties séparées par un tiret : le nom de l'algorithme de chiffrage utilisé pour générer le hash à gauche et le hash encodé en base 64 à droite. Lors de la génération du hash, il ne faut pas inclure les balises <code><script></code> or <code><style></code> et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.). Voir <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#Unsafe_inline_script">inline script non fiables</a> pour en avoir un exemple. En CSP 2.0, cette valeur ne s'applique qu'aux scripts embarqués. CSP 3.0 le permet aussi dans le cas de scripts externes.</dd> -</dl> -</div> - -<div id="strict-dynamic"> -<dl> <dt>'strict-dynamic'</dt> <dd>La valeur <code>strict-dynamic</code> spécifie que la confiance explicitement donnée à un script de la page, par le biais d'un nonce ou d'un hash, doit être propagée à tous les scripts chargés par celui-ci. En conséquence, toute les valeurs telles que <code>'self'</code> ou <code>'unsafe-inline'</code> et listes de permissions sont ignorées. Voir <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#strict-dynamic">script-src</a> pour en avoir un exemple.</dd> -</dl> -</div> - -<div id="report-sample"> -<dl> <dt>'report-sample'</dt> <dd>Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé.</dd> </dl> -</div> + <h2 id="Exemples">Exemples</h2> @@ -120,11 +111,11 @@ Content-Security-Policy: default-src <source> <source>; <p>S'il y a d'autres directives spécifiées, <code>default-src</code> ne les affecte pas. Soit l'en-tête suivant :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: default-src 'self'; script-src https://example.com</pre> +<pre class="brush: bash">Content-Security-Policy: default-src 'self'; script-src https://example.com</pre> <p>Est identique à :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: connect-src 'self'; +<pre class="brush: bash">Content-Security-Policy: connect-src 'self'; font-src 'self'; frame-src 'self'; img-src 'self'; diff --git a/files/fr/web/http/headers/content-security-policy/font-src/index.html b/files/fr/web/http/headers/content-security-policy/font-src/index.html index 9e50fb7307..d5f2317624 100644 --- a/files/fr/web/http/headers/content-security-policy/font-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/font-src/index.html @@ -38,7 +38,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/font-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: font-src <source>; +<pre class="syntaxbox">Content-Security-Policy: font-src <source>; Content-Security-Policy: font-src <source> <source>; </pre> @@ -52,11 +52,11 @@ Content-Security-Policy: font-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: font-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: font-src https://example.com/</pre> <p>Cette définition de police sera bloquée et ne se chargera pas :</p> -<pre class="brush: html notranslate"><style> +<pre class="brush: html"><style> @font-face { font-family: "MyFont"; src: url("https://not-example.com/font"); diff --git a/files/fr/web/http/headers/content-security-policy/form-action/index.html b/files/fr/web/http/headers/content-security-policy/form-action/index.html index cd09bd3cbc..fee4d1839f 100644 --- a/files/fr/web/http/headers/content-security-policy/form-action/index.html +++ b/files/fr/web/http/headers/content-security-policy/form-action/index.html @@ -17,7 +17,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/form-action <p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>form</strong></code><strong><code>-action</code></strong> restreint les URL pouvant être utilisées comme cibles de soumissions de formulaires depuis un contexte donné.</p> <div class="warning"> -<p>La question de savoir si <code>form-action</code> doit bloquer les redirections après une soumission de formulaire est encore <a href="https://github.com/w3c/webappsec-csp/issues/8">débattue</a> et les implantations des navigateurs sur cet aspect sont incohérentes (par exemple Firefox 57 ne les bloque pas, contrairement à Chrome 63).</p> +<p><strong>Attention :</strong> La question de savoir si <code>form-action</code> doit bloquer les redirections après une soumission de formulaire est encore <a href="https://github.com/w3c/webappsec-csp/issues/8">débattue</a> et les implantations des navigateurs sur cet aspect sont incohérentes (par exemple Firefox 57 ne les bloque pas, contrairement à Chrome 63).</p> </div> <table class="properties"> @@ -41,7 +41,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/form-action <p>Une ou plusieurs sources peuvent être utilisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: form-action <source>; +<pre class="syntaxbox">Content-Security-Policy: form-action <source>; Content-Security-Policy: form-action <source> <source>; </pre> @@ -53,23 +53,23 @@ Content-Security-Policy: form-action <source> <source>; <h3 id="Configuration_par_balise_<meta>">Configuration par balise <meta></h3> -<pre class="brush: html notranslate"><meta http-equiv="Content-Security-Policy" content="form-action 'none'"></pre> +<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="form-action 'none'"></pre> <h3 id="Configuration_par_Apache">Configuration par Apache</h3> -<pre class="brush: bash notranslate"><IfModule mod_headers.c> +<pre class="brush: bash"><IfModule mod_headers.c> Header set Content-Security-Policy "form-action 'none';" </IfModule></pre> <h3 id="Configuration_par_Nginx">Configuration par Nginx</h3> -<pre class="brush: bash notranslate">add_header Content-Security-Policy "form-action 'none';"</pre> +<pre class="brush: bash">add_header Content-Security-Policy "form-action 'none';"</pre> <h3 id="Cas_de_violation">Cas de violation</h3> <p>Utiliser un élément {{HTMLElement("form")}} avec un attribut <code>action</code> défini à un script embarqué JavaScript résultera en une violation de CSP :</p> -<pre class="brush: html; example-bad notranslate"><meta http-equiv="Content-Security-Policy" content="form-action 'none'"> +<pre class="brush: html; example-bad"><meta http-equiv="Content-Security-Policy" content="form-action 'none'"> <form action="javascript:alert('Foo')" id="form1" method="post"> <input type="text" name="fieldName" value="fieldValue"> diff --git a/files/fr/web/http/headers/content-security-policy/frame-ancestors/index.html b/files/fr/web/http/headers/content-security-policy/frame-ancestors/index.html index c512933db4..756e247616 100644 --- a/files/fr/web/http/headers/content-security-policy/frame-ancestors/index.html +++ b/files/fr/web/http/headers/content-security-policy/frame-ancestors/index.html @@ -43,7 +43,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/frame-ancestors <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: frame-ancestors <source>; +<pre class="syntaxbox">Content-Security-Policy: frame-ancestors <source>; Content-Security-Policy: frame-ancestors <source> <source>; </pre> @@ -52,7 +52,7 @@ Content-Security-Policy: frame-ancestors <source> <source>; <p>La <source> peut être une des suivantes :</p> <div class="note"> -<p>The <code>frame-ancestors</code> directive’s syntax is similar to a source list of other directives (e.g. {{CSP("default-src")}}), but doesn't allow <code>'unsafe-eval'</code> or <code>'unsafe-inline'</code> for example. It will also not fall back to a <code>default-src</code> setting. Only the sources listed below are allowed:</p> +<p><strong>Note :</strong> The <code>frame-ancestors</code> directive’s syntax is similar to a source list of other directives (e.g. {{CSP("default-src")}}), but doesn't allow <code>'unsafe-eval'</code> or <code>'unsafe-inline'</code> for example. It will also not fall back to a <code>default-src</code> setting. Only the sources listed below are allowed:</p> </div> <dl> @@ -65,8 +65,8 @@ Content-Security-Policy: frame-ancestors <source> <source>; <li><code>https://store.example.com</code>: correspondra à toutes les tentatives d'accès à store.example.com via le protocole <code>https:</code>.</li> </ul> - <div class="blockIndicator warning"> - <p>Si aucun schéma d'URL n'est spécifié comme <code>host-source</code> et que l'{{HTMLElement("iframe")}} est chargée via une URL <code>https:</code>, la page chargeant l'iframe doit aussi être chargée en <code>https:</code>, selon la spécification du W3C sur <a href="https://w3c.github.io/webappsec-csp/2/#match-source-expression">les correspondances de valeurs de sources</a>.</p> + <div class="warning"> + <p><strong>Attention :</strong> Si aucun schéma d'URL n'est spécifié comme <code>host-source</code> et que l'{{HTMLElement("iframe")}} est chargée via une URL <code>https:</code>, la page chargeant l'iframe doit aussi être chargée en <code>https:</code>, selon la spécification du W3C sur <a href="https://w3c.github.io/webappsec-csp/2/#match-source-expression">les correspondances de valeurs de sources</a>.</p> </div> </dd> <dt><scheme-source></dt> @@ -86,7 +86,7 @@ Content-Security-Policy: frame-ancestors <source> <source>; <h2 id="Exemples">Exemples</h2> -<pre class="brush: bash notranslate">Content-Security-Policy: frame-ancestors 'none'; +<pre class="brush: bash">Content-Security-Policy: frame-ancestors 'none'; Content-Security-Policy: frame-ancestors 'self' https://www.example.org;</pre> diff --git a/files/fr/web/http/headers/content-security-policy/frame-src/index.html b/files/fr/web/http/headers/content-security-policy/frame-src/index.html index 34aa799481..e5d7566d81 100644 --- a/files/fr/web/http/headers/content-security-policy/frame-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/frame-src/index.html @@ -39,7 +39,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/frame-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: frame-src <source>; +<pre class="syntaxbox">Content-Security-Policy: frame-src <source>; Content-Security-Policy: frame-src <source> <source>; </pre> @@ -53,11 +53,11 @@ Content-Security-Policy: frame-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: frame-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: frame-src https://example.com/</pre> <p>Cet élément {{HTMLElement("iframe")}} est bloqué et ne se chargera pas :</p> -<pre class="brush: html notranslate"><iframe src="https://not-example.com/"></iframe></pre> +<pre class="brush: html"><iframe src="https://not-example.com/"></iframe></pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/img-src/index.html b/files/fr/web/http/headers/content-security-policy/img-src/index.html index d398bf7930..cbaf0a5798 100644 --- a/files/fr/web/http/headers/content-security-policy/img-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/img-src/index.html @@ -16,7 +16,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/img-src --- <div>{{HTTPSidebar}}</div> -<p><span class="seoSummary">La directive HTTP {{HTTPHeader("Content-Security-Policy")}} <code><strong>img-src</strong></code> sépcifie les sources valides d'images et de favicons.</span></p> +<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} <code><strong>img-src</strong></code> sépcifie les sources valides d'images et de favicons.</p> <table class="properties"> <tbody> @@ -39,7 +39,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/img-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: img-src <source>; +<pre class="syntaxbox">Content-Security-Policy: img-src <source>; Content-Security-Policy: img-src <source> <source>; </pre> @@ -53,11 +53,11 @@ Content-Security-Policy: img-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: img-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: img-src https://example.com/</pre> <p>Cet élément {{HTMLElement("img")}} est bloqué et ne se chargera pas :</p> -<pre class="brush: html notranslate"><img src="https://not-example.com/foo.jpg" alt="example picture"></pre> +<pre class="brush: html"><img src="https://not-example.com/foo.jpg" alt="example picture"></pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/index.html b/files/fr/web/http/headers/content-security-policy/index.html index 4ffcff7b78..2cd4912372 100644 --- a/files/fr/web/http/headers/content-security-policy/index.html +++ b/files/fr/web/http/headers/content-security-policy/index.html @@ -30,7 +30,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Security-Policy: <policy-directive>; <policy-directive> +<pre class="syntaxbox">Content-Security-Policy: <policy-directive>; <policy-directive> </pre> <h2 id="Directives">Directives</h2> @@ -44,7 +44,9 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy <dd>Définit les sources valides pour les <a href="/fr/docs/Web/API/Web_Workers_API">web workers</a> et les éléments qui représentent des contextes de navigation imbriqués tels que {{HTMLElement("frame")}} et {{HTMLElement("iframe")}}.</dd> </dl> -<div class="blockIndicator warning">Plutôt que la directive <strong><code>child-src</code></strong>, si vous souhaitez réguler les contextes de navigation imbriqués et les workers séparément, vous pouvez utiliser respectivement les directives {{CSP("frame-src")}} et {{CSP("worker-src")}}.</div> +<div class="warning"> + <p><strong>Attention :</strong>Plutôt que la directive <strong><code>child-src</code></strong>, si vous souhaitez réguler les contextes de navigation imbriqués et les workers séparément, vous pouvez utiliser respectivement les directives {{CSP("frame-src")}} et {{CSP("worker-src")}}.</p> +</div> <dl> <dt>{{CSP("connect-src")}}</dt> @@ -65,8 +67,8 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy <dd>Définit les sources valides pour les ressources des éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}}.</dd> </dl> -<div class="blockIndicator note"> -<p>Les éléments contrôlés pa ar <code>object-src</code> sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité <code>sandbox</code> et <code>allow</code> pour <code><iframe></code>). De ce fait, il est <strong>recommandé</strong> de restreindre cette directive, c'est-à-dire la définir explicitement à <code>object-src 'none'</code> dans la mesure du possible.</p> +<div class="note"> +<p><strong>Note :</strong> Les éléments contrôlés pa ar <code>object-src</code> sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité <code>sandbox</code> et <code>allow</code> pour <code><iframe></code>). De ce fait, il est <strong>recommandé</strong> de restreindre cette directive, c'est-à-dire la définir explicitement à <code>object-src 'none'</code> dans la mesure du possible.</p> </div> <dl> @@ -124,9 +126,9 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy </dl> <div class="warning"> -<p>Bien que la directive <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a> est prévue remplacer la directive <code><strong>report-uri</strong></code> maintenant dépréciée, <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a> n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a>, vous pouvez spécifier les deux directives <code><strong>report-uri</strong></code> et <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a>:</p> +<p><strong>Attention :</strong> Bien que la directive <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a> est prévue remplacer la directive <code><strong>report-uri</strong></code> maintenant dépréciée, <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a> n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a>, vous pouvez spécifier les deux directives <code><strong>report-uri</strong></code> et <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a>:</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname</pre> +<pre class="syntaxbox">Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname</pre> <p>Dans les navigateurs qui supportent <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a>, la directive <code><strong>report-uri</strong></code> sera ignorée.</p> </div> @@ -163,7 +165,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy <p>L'en-tête <code>Content-Security-Policy</code> peut être utilisé plus d'une fois comme illustré ci-après. On notera la directive {{CSP("connect-src")}} utilisée ici. Bien que la deuxième règle autorise la connexion, la première contient <code>connect-src 'none'</code>. L'ajout de règles supplémentaires permet uniquement d'augmenter les protections. Les niveaux les plus stricts pour chaque règle sont alors utilisés. Dans l'exemple qui suit, cela signifie que la directive <code>connect-src 'none'</code> sera respectée.</p> -<pre class="notranslate">Content-Security-Policy: default-src 'self' http://example.com; +<pre>Content-Security-Policy: default-src 'self' http://example.com; connect-src 'none'; Content-Security-Policy: connect-src http://example.com/; script-src http://example.com/</pre> @@ -174,7 +176,7 @@ Content-Security-Policy: connect-src http://example.com/; <p>Dans cet exemple, on désactive les scripts écrits à même le document (<em>inline</em>), les opérations <code>eval()</code> et les ressources (images, polices, scripts, etc.) peuvent uniquement être chargées via HTTPS :</p> -<pre class="notranslate">// en-tête HTTP +<pre>// en-tête HTTP Content-Security-Policy: default-src https: // version avec la balise HTML meta @@ -185,13 +187,13 @@ Content-Security-Policy: default-src https: <p>Cet exemple est plutôt adapté pour un site historique qui utilise de nombreux scripts écrits dans les documents mais pour lequel on veut s'assurer que les ressources sont chargées via HTTPS et pour lequel on veut désactiver les plugins :</p> -<pre class="notranslate">Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'</pre> +<pre>Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'</pre> <h3 id="Exemple_3">Exemple 3</h3> <p>On ne met pas en place la règle de sécurité mais on récolte les enfreintes qui se seraient produites pour cette règle :</p> -<pre class="notranslate">Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/</pre> +<pre>Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/</pre> <p>Pour plus d'exemples, consulter <a href="https://wiki.mozilla.org/Security/Guidelines/Web_Security#Examples_5">les recommandations de Mozilla pour la sécurité web</a>.</p> diff --git a/files/fr/web/http/headers/content-security-policy/manifest-src/index.html b/files/fr/web/http/headers/content-security-policy/manifest-src/index.html index 227cbbd03a..a99cf41e12 100644 --- a/files/fr/web/http/headers/content-security-policy/manifest-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/manifest-src/index.html @@ -39,7 +39,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/manifest-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: manifest-src <source>; +<pre class="syntaxbox">Content-Security-Policy: manifest-src <source>; Content-Security-Policy: manifest-src <source> <source>; </pre> @@ -53,11 +53,11 @@ Content-Security-Policy: manifest-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: manifest-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: manifest-src https://example.com/</pre> <p>Cet élément {{HTMLElement("link")}} sera bloqué et ne se chargera pas :</p> -<pre class="brush: html notranslate"><link rel="manifest" href="https://not-example.com/manifest"></pre> +<pre class="brush: html"><link rel="manifest" href="https://not-example.com/manifest"></pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/media-src/index.html b/files/fr/web/http/headers/content-security-policy/media-src/index.html index ed0bd0f4ab..9efb6aef2d 100644 --- a/files/fr/web/http/headers/content-security-policy/media-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/media-src/index.html @@ -39,7 +39,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/media-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: media-src <source>; +<pre class="syntaxbox">Content-Security-Policy: media-src <source>; Content-Security-Policy: media-src <source> <source>; </pre> @@ -53,11 +53,11 @@ Content-Security-Policy: media-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: media-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: media-src https://example.com/</pre> <p>Ces éléments {{HTMLElement("audio")}}, {{HTMLElement("video")}} et {{HTMLElement("track")}} seront bloqués et ne se chargeront pas :</p> -<pre class="brush: html notranslate"><audio src="https://not-example.com/audio"></audio> +<pre class="brush: html"><audio src="https://not-example.com/audio"></audio> <video src="https://not-example.com/video"> <track kind="subtitles" src="https://not-example.com/subtitles"> diff --git a/files/fr/web/http/headers/content-security-policy/navigate-to/index.html b/files/fr/web/http/headers/content-security-policy/navigate-to/index.html index 79478e5691..2a715438a3 100644 --- a/files/fr/web/http/headers/content-security-policy/navigate-to/index.html +++ b/files/fr/web/http/headers/content-security-policy/navigate-to/index.html @@ -17,7 +17,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/navigate-to <p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>navigate</strong></code><strong><code>-to</code></strong> restreint les URL vers lesquelles un document peut initier une navigation de quelque manière que ce soit, dont {{HTMLElement("form")}} (si {{CSP("form-action")}} n'est pas spécifié), {{HTMLElement("a")}}, {{DOMxRef("window.location")}}, {{DOMxRef("window.open")}}, etc. Elle permet de renforcer les navigations que le document peut initier et <strong>non</strong> les adresses vers lesquelles ce document peut naviguer.</p> -<div class="blockIndicator note"> +<div class="note"> <p><strong>Note :</strong> Si la directive {{CSP("form-action")}} est présente, la directive <code>navigate-to</code> ne sera pas appliquée sur la navigation par la soumission de formulaire.</p> </div> @@ -42,7 +42,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/navigate-to <p>Une ou plusieurs sources peuvent être utilisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: navigate-to <source>; +<pre class="syntaxbox">Content-Security-Policy: navigate-to <source>; Content-Security-Policy: navigate-to <source> <source>; </pre> @@ -54,14 +54,14 @@ Content-Security-Policy: navigate-to <source> <source>; <h3 id="Configuration_par_balise_<meta>">Configuration par balise <meta></h3> -<pre class="brush: html notranslate"><meta http-equiv="Content-Security-Policy" content="navigate-to 'none'"> +<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="navigate-to 'none'"> </pre> <h3 id="Cas_de_violation">Cas de violation</h3> <p>Utiliser l'élément {{HTMLElement("form")}} avec un attribut <code>action</code> défini à un script embarqué en JavaScript résultera en une violation de CSP :</p> -<pre class="brush: html; example-bad notranslate"><meta http-equiv="Content-Security-Policy" content="navigate-to 'none'"> +<pre class="brush: html; example-bad"><meta http-equiv="Content-Security-Policy" content="navigate-to 'none'"> <form action="javascript:alert('Foo')" id="form1" method="post"> <input type="text" name="fieldName" value="fieldValue"> diff --git a/files/fr/web/http/headers/content-security-policy/object-src/index.html b/files/fr/web/http/headers/content-security-policy/object-src/index.html index 0111f1cf61..46cca9c2ee 100644 --- a/files/fr/web/http/headers/content-security-policy/object-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/object-src/index.html @@ -20,7 +20,9 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/object-src <p>Pour définir des types autorisés pour les éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}}, voir la directive {{CSP("plugin-types")}}.</p> -<p class="note">Les éléments contrôlés par <code>object-src</code> sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité <code>sandbox</code> et <code>allow</code> pour <code><iframe></code>). De ce fait, il est <a href="https://csp.withgoogle.com/docs/strict-csp.html">recommandé</a> de restreindre cette directive, c'est-à-dire la définir explicitement à <code>object-src 'none'</code> dans la mesure du possible.</p> +<div class="notecard note"> + <p><strong>Note :</strong> Les éléments contrôlés par <code>object-src</code> sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité <code>sandbox</code> et <code>allow</code> pour <code><iframe></code>). De ce fait, il est <a href="https://csp.withgoogle.com/docs/strict-csp.html">recommandé</a> de restreindre cette directive, c'est-à-dire la définir explicitement à <code>object-src 'none'</code> dans la mesure du possible.</p> +</div> <table class="properties"> <tbody> @@ -43,7 +45,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/object-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: object-src <source>; +<pre class="syntaxbox">Content-Security-Policy: object-src <source>; Content-Security-Policy: object-src <source> <source>; </pre> @@ -57,11 +59,11 @@ Content-Security-Policy: object-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: object-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: object-src https://example.com/</pre> <p>Ces éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}} seront bloqués et ne se chargeront pas :</p> -<pre class="brush: html notranslate"><embed src="https://not-example.com/flash"></embed> +<pre class="brush: html"><embed src="https://not-example.com/flash"></embed> <object data="https://not-example.com/plugin"></object> <applet archive="https://not-example.com/java"></applet></pre> diff --git a/files/fr/web/http/headers/content-security-policy/plugin-types/index.html b/files/fr/web/http/headers/content-security-policy/plugin-types/index.html index 76e7cf1e38..188eccaf9e 100644 --- a/files/fr/web/http/headers/content-security-policy/plugin-types/index.html +++ b/files/fr/web/http/headers/content-security-policy/plugin-types/index.html @@ -47,7 +47,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/plugin-types <p>Un ou plusieurs <a href="/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types">types MIME</a> peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: plugin-types <type>/<subtype>; +<pre class="syntaxbox">Content-Security-Policy: plugin-types <type>/<subtype>; Content-Security-Policy: plugin-types <type>/<subtype> <type>/<subtype>; </pre> @@ -62,23 +62,23 @@ Content-Security-Policy: plugin-types <type>/<subtype> <type>/ <p>Pour intedire tous les greffons, la directive {{CSP("object-src")}} doit être définie à <code>'none'</code>. La directive <code>plugin-types</code> n'est utilisée que si vous autorisez au préalable les greffons avec <code>object-src</code>.</p> -<pre class="brush: html notranslate"><meta http-equiv="Content-Security-Policy" content="object-src 'none'"></pre> +<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="object-src 'none'"></pre> <h3 id="Autoriser_le_contenu_Flash">Autoriser le contenu Flash</h3> <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: plugin-types application/x-shockwave-flash</pre> +<pre class="brush: bash">Content-Security-Policy: plugin-types application/x-shockwave-flash</pre> <p>Cet objet Flash sera autorisé et se chargera (dans la mesure où le navigateur gère Flash) :</p> -<pre class="brush: html notranslate"><object data="https://example.com/flash" type="application/x-shockwave-flash"></object></pre> +<pre class="brush: html"><object data="https://example.com/flash" type="application/x-shockwave-flash"></object></pre> <h3 id="Autoriser_les_applets_Java">Autoriser les applets Java</h3> <p>Pour charger une {{HTMLElement("applet")}}, vous devez spécifier la valeur <code>application/x-java-applet</code> :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: plugin-types application/x-java-applet</pre> +<pre class="brush: bash">Content-Security-Policy: plugin-types application/x-java-applet</pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/prefetch-src/index.html b/files/fr/web/http/headers/content-security-policy/prefetch-src/index.html index 81d2f5f0fa..62abcf4068 100644 --- a/files/fr/web/http/headers/content-security-policy/prefetch-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/prefetch-src/index.html @@ -36,7 +36,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/prefetch-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: prefetch-src <source>; +<pre class="syntaxbox">Content-Security-Policy: prefetch-src <source>; Content-Security-Policy: prefetch-src <source> <source>; </pre> @@ -50,12 +50,12 @@ Content-Security-Policy: prefetch-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="notranslate">Content-Security-Policy: prefetch-src https://example.com/ +<pre>Content-Security-Policy: prefetch-src https://example.com/ </pre> <p>Les requêtes émises par ce code généreront des erreurs de réseau puisque les URL demandées ne correspondant pas à la liste de permissions de la directive <code>prefetch-src</code> :</p> -<pre class="notranslate"><link rel="prefetch" src="https://example.org/"></link> +<pre><link rel="prefetch" src="https://example.org/"></link> <link rel="prerender" src="https://example.org/"></link></pre> <h2 id="Spécification">Spécification</h2> diff --git a/files/fr/web/http/headers/content-security-policy/referrer/index.html b/files/fr/web/http/headers/content-security-policy/referrer/index.html index dc3b894b7c..ee12abb78d 100644 --- a/files/fr/web/http/headers/content-security-policy/referrer/index.html +++ b/files/fr/web/http/headers/content-security-policy/referrer/index.html @@ -18,14 +18,14 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/referrer <p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>referrer</strong></code> spécifie des informations dans l'en-tête HTTP {{HTTPHeader("Referer")}} (avec un seul r) pour les liens externes d'une page. Cette API est dépréciée et supprimée des navigateurs.</p> <div class="note"> -<p>Utilisez plutôt l'en-tête HTTP {{HTTPHeader("Referrer-Policy")}}.</p> +<p><strong>Note :</strong> Utilisez plutôt l'en-tête HTTP {{HTTPHeader("Referrer-Policy")}}.</p> </div> <h2 id="Syntaxe">Syntaxe</h2> <p>Soit cet en-tête CSP :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: referrer <referrer-policy>;</pre> +<pre class="syntaxbox">Content-Security-Policy: referrer <referrer-policy>;</pre> <p>Où <code><referrer-policy></code> peut être une valeur parmi :</p> @@ -45,7 +45,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/referrer <h2 id="Exemples">Exemples</h2> -<pre class="notranslate">Content-Security-Policy: referrer "none";</pre> +<pre>Content-Security-Policy: referrer "none";</pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/report-to/index.html b/files/fr/web/http/headers/content-security-policy/report-to/index.html index fe1286dbe1..3011486ccb 100644 --- a/files/fr/web/http/headers/content-security-policy/report-to/index.html +++ b/files/fr/web/http/headers/content-security-policy/report-to/index.html @@ -14,9 +14,9 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/report-to --- <div>{{HTTPSidebar}}</div> -<p><span class="seoSummary">La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>report-to</code></strong> demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP <code>Report-To</code>.</span></p> +<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>report-to</code></strong> demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP <code>Report-To</code>.</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: ...; report-to groupname +<pre class="syntaxbox">Content-Security-Policy: ...; report-to groupname </pre> <p>Cette directive n'a aucun effet en elle-même, mais prend tout son sens en étant combinée à d'autres directives.</p> @@ -39,38 +39,36 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/report-to <h2 id="Syntaxe">Syntaxe</h2> -<pre class="notranslate">Content-Security-Policy: report-to <json-field-value>;</pre> +<pre>Content-Security-Policy: report-to <json-field-value>;</pre> <h2 id="Exemples">Exemples</h2> <p>Voir {{HTTPHeader("Content-Security-Policy-Report-Only")}} pour plus d'informations et d'exemples.</p> -<pre class="notranslate"><a href="http://wicg.github.io/reporting/#report-to" id="ref-for-report-to①">Report-To</a>: { "<a href="http://wicg.github.io/reporting/#group" id="ref-for-group①">group</a>": "csp-endpoint", - "<a href="http://wicg.github.io/reporting/#max-age" id="ref-for-max-age①">max_age</a>": 10886400, - "<a href="http://wicg.github.io/reporting/#endpoints" id="ref-for-endpoints②">endpoints</a>": [ - { "<a href="http://wicg.github.io/reporting/#url" id="ref-for-url②">url</a>": "https://example.com/csp-reports" } +<pre><a href="http://wicg.github.io/reporting/#report-to">Report-To</a>: { "<a href="http://wicg.github.io/reporting/#group">group</a>": "csp-endpoint", + "<a href="http://wicg.github.io/reporting/#max-age">max_age</a>": 10886400, + "<a href="http://wicg.github.io/reporting/#endpoints">endpoints</a>": [ + { "<a href="http://wicg.github.io/reporting/#url">url</a>": "https://example.com/csp-reports" } ] }, - { "<a href="http://wicg.github.io/reporting/#group" id="ref-for-group②">group</a>": "hpkp-endpoint", - "<a href="http://wicg.github.io/reporting/#max-age" id="ref-for-max-age②">max_age</a>": 10886400, - "<a href="http://wicg.github.io/reporting/#endpoints" id="ref-for-endpoints③">endpoints</a>": [ - { "<a href="http://wicg.github.io/reporting/#url" id="ref-for-url③">url</a>": "https://example.com/hpkp-reports" } + { "<a href="http://wicg.github.io/reporting/#group">group</a>": "hpkp-endpoint", + "<a href="http://wicg.github.io/reporting/#max-age">max_age</a>": 10886400, + "<a href="http://wicg.github.io/reporting/#endpoints">endpoints</a>": [ + { "<a href="http://wicg.github.io/reporting/#url">url</a>": "https://example.com/hpkp-reports" } ] } -<a href="https://w3c.github.io/webappsec-csp/#content-security-policy" id="ref-for-content-security-policy①">Content-Security-Policy</a>: ...; <a href="https://w3c.github.io/webappsec-csp/#directives-reporting" id="ref-for-directives-reporting①">report-to</a> csp-endpoint +<a href="https://w3c.github.io/webappsec-csp/#content-security-policy">Content-Security-Policy</a>: ...; <a href="https://w3c.github.io/webappsec-csp/#directives-reporting">report-to</a> csp-endpoint </pre> -<pre class="notranslate"><a href="http://wicg.github.io/reporting/#report-to" id="ref-for-report-to">Report-To</a>: { "<a href="http://wicg.github.io/reporting/#group" id="ref-for-group">group</a>": "endpoint-1", - "<a href="http://wicg.github.io/reporting/#max-age" id="ref-for-max-age">max_age</a>": 10886400, - "<a href="http://wicg.github.io/reporting/#endpoints" id="ref-for-endpoints①">endpoints</a>": [ - { "<a href="http://wicg.github.io/reporting/#url" id="ref-for-url">url</a>": "https://example.com/reports" }, - { "<a href="http://wicg.github.io/reporting/#url" id="ref-for-url①">url</a>": "https://backup.com/reports" } +<pre><a href="http://wicg.github.io/reporting/#report-to">Report-To</a>: { "<a href="http://wicg.github.io/reporting/#group">group</a>": "endpoint-1", + "<a href="http://wicg.github.io/reporting/#max-age">max_age</a>": 10886400, + "<a href="http://wicg.github.io/reporting/#endpoints">endpoints</a>": [ + { "<a href="http://wicg.github.io/reporting/#url">url</a>": "https://example.com/reports" }, + { "<a href="http://wicg.github.io/reporting/#url">url</a>": "https://backup.com/reports" } ] } -<a href="https://w3c.github.io/webappsec-csp/#content-security-policy" id="ref-for-content-security-policy">Content-Security-Policy</a>: ...; <a href="https://w3c.github.io/webappsec-csp/#directives-reporting" id="ref-for-directives-reporting">report-to</a> endpoint-1</pre> +<a href="https://w3c.github.io/webappsec-csp/#content-security-policy">Content-Security-Policy</a>: ...; <a href="https://w3c.github.io/webappsec-csp/#directives-reporting">report-to</a> endpoint-1</pre> <h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> -<div class="hidden"> - <p>{{Compat("http.headers.csp.Content-Security-Policy.report-to")}}</p> <h2 id="Voir_aussi">Voir aussi</h2> diff --git a/files/fr/web/http/headers/content-security-policy/report-uri/index.html b/files/fr/web/http/headers/content-security-policy/report-uri/index.html index 40bb91bddd..18ea9daf71 100644 --- a/files/fr/web/http/headers/content-security-policy/report-uri/index.html +++ b/files/fr/web/http/headers/content-security-policy/report-uri/index.html @@ -16,9 +16,9 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/report-uri <p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>report-uri</strong></code> demande à l'agent utilisateur de rapporter les violations de règles CSP. Ces rapports de violation sont constituées d'un document JSON envoyé via une requête HTTP POST à l'URI fournie.</p> <div class="warning"> -<p>Bien que la directive {{CSP("report-to")}} est prévue remplacer la directive <code><strong>report-uri</strong></code> maintenant dépréciée, {{CSP("report-to")}} n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront {{CSP("report-to")}}, vous pouvez spécifier les deux directives <code><strong>report-uri</strong></code> et {{CSP("report-to")}}:</p> +<p><strong>Attention :</strong> Bien que la directive {{CSP("report-to")}} est prévue remplacer la directive <code><strong>report-uri</strong></code> maintenant dépréciée, {{CSP("report-to")}} n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront {{CSP("report-to")}}, vous pouvez spécifier les deux directives <code><strong>report-uri</strong></code> et {{CSP("report-to")}}:</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname</pre> +<pre class="syntaxbox">Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname</pre> <p>Dans les navigateurs qui supportent {{CSP("report-to")}}, la directive <code><strong>report-uri</strong></code> sera ignorée.</p> </div> @@ -43,7 +43,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/report-uri <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Security-Policy: report-uri <uri>; +<pre class="syntaxbox">Content-Security-Policy: report-uri <uri>; Content-Security-Policy: report-uri <uri> <uri>;</pre> <dl> @@ -55,11 +55,11 @@ Content-Security-Policy: report-uri <uri> <uri>;</pre> <p>Voir {{HTTPHeader("Content-Security-Policy-Report-Only")}} pour plus d'informations et d'exemples.</p> -<pre class="notranslate">Content-Security-Policy: default-src https:; report-uri /csp-violation-report-endpoint/</pre> +<pre>Content-Security-Policy: default-src https:; report-uri /csp-violation-report-endpoint/</pre> <p><code>/csp-violation-report-endpoint/</code> pourrait par exemple exécuter un script PHP similaire au suivant qui journaliserait le JSON détaillant la violation et, si elle est la première ajoutée au journal, enverrait un courril à l'administrateur :</p> -<pre class="brush: php notranslate"><?php +<pre class="brush: php"><?php // Start configure $log_file = dirname(__FILE__) . '/csp-violations.log'; diff --git a/files/fr/web/http/headers/content-security-policy/require-sri-for/index.html b/files/fr/web/http/headers/content-security-policy/require-sri-for/index.html index 2650a7f3c7..f78c78e47f 100644 --- a/files/fr/web/http/headers/content-security-policy/require-sri-for/index.html +++ b/files/fr/web/http/headers/content-security-policy/require-sri-for/index.html @@ -19,7 +19,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/require-sri-for <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Security-Policy: require-sri-for script; +<pre class="syntaxbox">Content-Security-Policy: require-sri-for script; Content-Security-Policy: require-sri-for style; Content-Security-Policy: require-sri-for script style; </pre> @@ -37,17 +37,17 @@ Content-Security-Policy: require-sri-for script style; <p>Soit cet en-tête CSP :</p> -<pre class="notranslate">Content-Security-Policy: require-sri-for script style</pre> +<pre>Content-Security-Policy: require-sri-for script style</pre> <p>Cet élément {{HTMLElement("script")}} sera chargé et exécuté puisqu'il utilise un attribut <code>integrity</code> valide.</p> -<pre class="brush: html; example-good notranslate"><script src="https://code.jquery.com/jquery-3.1.1.slim.js" +<pre class="brush: html; example-good"><script src="https://code.jquery.com/jquery-3.1.1.slim.js" integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA=" crossorigin="anonymous"></script></pre> <p>Toutefois, ce script sera bloqué car il n'utilise pas cet attribut :</p> -<pre class="brush: html; example-bad notranslate"><script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script></pre> +<pre class="brush: html; example-bad"><script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script></pre> <h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> diff --git a/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.html b/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.html index f4102e3593..fea32fdcd9 100644 --- a/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.html +++ b/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.html @@ -17,11 +17,11 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/require-trusted-types-f <p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>require-trusted-types-for</strong></code> {{experimental_inline}} directive informe l'agent utilisateur de contrôler les données passées au puits de fonctions XSS du DOM, tel que le mutateur <a href="/en-US/docs/Web/API/Element/innerHTML">Element.innerHTML</a>.</p> -<p>Lors de leur usage, ces fonctions n'acceptent que des valeurs typées et non falsifiables créées par des règles de Trusted Type et rejettent les chaines de caractère.<span> Conjointement à la directive <strong><code><a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/trusted-types">trusted-types</a></code></strong>, qui empêche la création de règles de Trusted Type, cette directive permet aux auteurs de définir des règles empêchant d'écrire des données dans le DOM et donc de réduire </span> <span>la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture</span><span>.</span></p> +<p>Lors de leur usage, ces fonctions n'acceptent que des valeurs typées et non falsifiables créées par des règles de Trusted Type et rejettent les chaines de caractère. Conjointement à la directive <strong><code><a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/trusted-types">trusted-types</a></code></strong>, qui empêche la création de règles de Trusted Type, cette directive permet aux auteurs de définir des règles empêchant d'écrire des données dans le DOM et donc de réduire la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture.</p> <h2 id="Syntaxe">Syntaxe</h2> -<pre class="notranslate">Content-Security-Policy: require-trusted-types-for 'script'; +<pre>Content-Security-Policy: require-trusted-types-for 'script'; </pre> <dl> @@ -31,7 +31,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/require-trusted-types-f <h2 id="Exemples">Exemples</h2> -<pre class="brush: js notranslate">// Content-Security-Policy: require-trusted-types-for 'script'; trusted-types foo; +<pre class="brush: js">// Content-Security-Policy: require-trusted-types-for 'script'; trusted-types foo; const attackerInput = '<svg onload="alert(/cross-site-scripting/)" />'; const el = document.createElement('div'); diff --git a/files/fr/web/http/headers/content-security-policy/sandbox/index.html b/files/fr/web/http/headers/content-security-policy/sandbox/index.html index 94c45d6167..626398f914 100644 --- a/files/fr/web/http/headers/content-security-policy/sandbox/index.html +++ b/files/fr/web/http/headers/content-security-policy/sandbox/index.html @@ -33,7 +33,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/sandbox <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Security-Policy: sandbox; +<pre class="syntaxbox">Content-Security-Policy: sandbox; Content-Security-Policy: sandbox <valeur>; </pre> @@ -73,7 +73,7 @@ Content-Security-Policy: sandbox <valeur>; <h2 id="Exemples">Exemples</h2> -<pre class="brush: bash notranslate">Content-Security-Policy: sandbox allow-scripts;</pre> +<pre class="brush: bash">Content-Security-Policy: sandbox allow-scripts;</pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/script-src-attr/index.html b/files/fr/web/http/headers/content-security-policy/script-src-attr/index.html index 0701824fd5..d08a6f4e57 100644 --- a/files/fr/web/http/headers/content-security-policy/script-src-attr/index.html +++ b/files/fr/web/http/headers/content-security-policy/script-src-attr/index.html @@ -41,13 +41,13 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src-attr <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: script-src-attr <source>; +<pre class="syntaxbox">Content-Security-Policy: script-src-attr <source>; Content-Security-Policy: script-src-attr <source> <source>; </pre> <p><code>script-src-attr</code> peut être utilisée conjointement à {{CSP("script-src")}} :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: script-src <source>; +<pre class="syntaxbox">Content-Security-Policy: script-src <source>; Content-Security-Policy: script-src-attr <source>; </pre> @@ -61,10 +61,6 @@ Content-Security-Policy: script-src-attr <source>; <p>Si la directive <code>script-src-attr</code> est absente, l'agent utilisateur se rabat sur la valeur de la directive {{CSP("script-src")}}, qui elle-même a pour valeur par défaut celle de la directive {{CSP("default-src")}}.</p> -<div class="hidden"> -<p>TODO: Add comprehensive examples.</p> -</div> - <h2 id="Spécifications">Spécifications</h2> <table class="standard-table"> diff --git a/files/fr/web/http/headers/content-security-policy/script-src-elem/index.html b/files/fr/web/http/headers/content-security-policy/script-src-elem/index.html index 5bebc3b3a7..7d29bbef41 100644 --- a/files/fr/web/http/headers/content-security-policy/script-src-elem/index.html +++ b/files/fr/web/http/headers/content-security-policy/script-src-elem/index.html @@ -41,13 +41,13 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src-elem <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: script-src-elem <source>; +<pre class="syntaxbox">Content-Security-Policy: script-src-elem <source>; Content-Security-Policy: script-src-elem <source> <source>; </pre> <p><code>script-src-elem</code> peut être utilisée conjointement à {{CSP("script-src")}} :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: script-src <source>; +<pre class="syntaxbox">Content-Security-Policy: script-src <source>; Content-Security-Policy: script-src-elem <source>; </pre> @@ -61,10 +61,6 @@ Content-Security-Policy: script-src-elem <source>; <p>Si la directive <code>script-src-elem</code> est absente, l'agent utilisateur se rabat sur la valeur de la directive {{CSP("script-src")}}, qui elle-même a pour valeur par défaut celle de la directive {{CSP("default-src")}}.</p> -<div class="hidden"> -<p>TODO: Add comprehensive examples.</p> -</div> - <h2 id="Spécifications">Spécifications</h2> <table class="standard-table"> diff --git a/files/fr/web/http/headers/content-security-policy/script-src/index.html b/files/fr/web/http/headers/content-security-policy/script-src/index.html index d050eefcaa..a6b2659ae9 100644 --- a/files/fr/web/http/headers/content-security-policy/script-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/script-src/index.html @@ -40,7 +40,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: script-src <source>; +<pre class="syntaxbox">Content-Security-Policy: script-src <source>; Content-Security-Policy: script-src <source> <source>; </pre> @@ -54,19 +54,19 @@ Content-Security-Policy: script-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: script-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: script-src https://example.com/</pre> <p>Ces scripts seront bloqués et ne seront pas chargés ou exécutés :</p> -<pre class="brush: html notranslate"><script src="https://not-example.com/js/library.js"></script></pre> +<pre class="brush: html"><script src="https://not-example.com/js/library.js"></script></pre> <p>Notez que les gestionnaires d'évènements par attributs sont aussi bloqués :</p> -<pre class="brush: html notranslate"><button id="btn" onclick="doSomething()"></pre> +<pre class="brush: html"><button id="btn" onclick="doSomething()"></pre> <p>Vous devez les remplacer par des appels à la méthode {{domxref("EventTarget.addEventListener", "addEventListener")}} :</p> -<pre class="brush: js notranslate">document.getElementById("btn").addEventListener('click', doSomething);</pre> +<pre class="brush: js">document.getElementById("btn").addEventListener('click', doSomething);</pre> <h3 id="Scripts_embarqués_non_fiables">Scripts embarqués non fiables</h3> @@ -76,32 +76,32 @@ Content-Security-Policy: script-src <source> <source>; <p>Vous pouvez autoriser les scripts embarqués et les gestionnaires d'évènements par attributs en spécifiant la valeur <code>'unsafe-inline'</code>, des nonces ou des hashs correspondant au script.</p> -<pre class="brush: bash notranslate">Content-Security-Policy: script-src 'unsafe-inline'; +<pre class="brush: bash">Content-Security-Policy: script-src 'unsafe-inline'; </pre> <p>Cette directive CSP autorisera tous les scripts {{HTMLElement("script")}} embarqués :</p> -<pre class="brush: html notranslate"><script> +<pre class="brush: html"><script> var inline = 1; </script></pre> <p>Vous pouvez aussi utiliser un nonce pour autoriser spécifiquement certains éléments {{HTMLElement("script")}} embarqués :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: script-src 'nonce-2726c7f26c'</pre> +<pre class="brush: bash">Content-Security-Policy: script-src 'nonce-2726c7f26c'</pre> <p>Vous devrez alors définir ce nonce sur l'élément {{HTMLElement("script")}} :</p> -<pre class="brush: html notranslate"><script nonce="2726c7f26c"> +<pre class="brush: html"><script nonce="2726c7f26c"> var inline = 1; </script></pre> <p>Autrement, vous pouvez créer des hashs à partir de vos scripts. CSP accepte les algorithmes sha256, sha384 et sha512.</p> -<pre class="brush: bash notranslate">Content-Security-Policy: script-src 'sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8='</pre> +<pre class="brush: bash">Content-Security-Policy: script-src 'sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8='</pre> <p>Lors de la génération du hash, vous ne devez pas inclure les balises et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.).</p> -<pre class="brush: html notranslate"><script>var inline = 1;</script></pre> +<pre class="brush: html"><script>var inline = 1;</script></pre> <h3 id="Expressions_dévaluation_non_fiables">Expressions d'évaluation non fiables</h3> @@ -124,15 +124,15 @@ Content-Security-Policy: script-src <source> <source>; <p>La valeur <code>'strict-dynamic'</code> spécifie que la confiance explicitement donnée à un script de la page, par le biais d'un nonce ou d'un hash, doit être propagée à tous les scripts chargés par celui-ci. En conséquence, toute liste de permissions ou expressions de sources telles que <code>'self'</code> ou <code>'unsafe-inline'</code> sont ignorées. Par exemple, une règle telle que <code>script-src 'strict-dynamic' 'nonce-R4nd0m' https://whitelisted.com/</code> autoriserait le chargement de scripts comme <code><script nonce="R4nd0m" src="https://example.com/loader.js"></code> et s'appliquerait ensuite à tous les scripts chargés par <code>loader.js</code>, mais interdirait les scripts chargés depuis <code>https://whitelisted.com/</code> à moins qu'ils soient accompagnés d'un nonce ou chargés depuis un script dont la source est de confiance.</p> -<pre class="brush: bash notranslate">script-src 'strict-dynamic' 'nonce-<em>someNonce</em>'</pre> +<pre class="brush: bash">script-src 'strict-dynamic' 'nonce-<em>someNonce</em>'</pre> <p><em>Ou</em></p> -<pre class="brush: bash notranslate">script-src 'strict-dynamic' 'sha256-<em>base64EncodedHash</em>'</pre> +<pre class="brush: bash">script-src 'strict-dynamic' 'sha256-<em>base64EncodedHash</em>'</pre> <p>Il est possible de déployer <code>strict-dynamic</code> de manière rétrocompatible, sans chercher à connaitre l'agent utilisateur. Cette directive :</p> -<pre class="brush: bash notranslate">script-src 'unsafe-inline' https: 'nonce-abcdefg' 'strict-dynamic'</pre> +<pre class="brush: bash">script-src 'unsafe-inline' https: 'nonce-abcdefg' 'strict-dynamic'</pre> <p>fonctionnera comme <code>'unsafe-inline' https:</code> pour les navigateurs supportant CSP1, <code>https: 'nonce-abcdefg'</code> pour ceux supportant CSP2 et comme <code>'nonce-abcdefg' 'strict-dynamic'</code> pour ceux supportant CSP3.</p> diff --git a/files/fr/web/http/headers/content-security-policy/style-src-attr/index.html b/files/fr/web/http/headers/content-security-policy/style-src-attr/index.html index 55ef02df71..efe3b11c9a 100644 --- a/files/fr/web/http/headers/content-security-policy/style-src-attr/index.html +++ b/files/fr/web/http/headers/content-security-policy/style-src-attr/index.html @@ -43,13 +43,13 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/style-src-attr <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: style-src-attr <source>; +<pre class="syntaxbox">Content-Security-Policy: style-src-attr <source>; Content-Security-Policy: style-src-attr <source> <source>; </pre> <p><code>style-src-attr</code> peut être utilisée conjointement à {{CSP("style-src")}} :</p> -<pre class="notranslate">Content-Security-Policy: <code>style</code>-src <source>; +<pre>Content-Security-Policy: <code>style</code>-src <source>; Content-Security-Policy: <code>style</code>-src-attr <source>;</pre> <h3 id="Sources">Sources</h3> @@ -61,12 +61,6 @@ Content-Security-Policy: <code>style</code>-src-attr <source>;</pre> <dd>Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé.</dd> </dl> -<h2 id="Exemples">Exemples</h2> - -<div class="hidden"> -<p>TODO: add examples</p> -</div> - <h2 id="Spécifications">Spécifications</h2> <table class="standard-table"> diff --git a/files/fr/web/http/headers/content-security-policy/style-src-elem/index.html b/files/fr/web/http/headers/content-security-policy/style-src-elem/index.html index 49f0a0c7d4..ae88af89c0 100644 --- a/files/fr/web/http/headers/content-security-policy/style-src-elem/index.html +++ b/files/fr/web/http/headers/content-security-policy/style-src-elem/index.html @@ -43,13 +43,13 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/style-src-elem <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: style-src-elem <source>; +<pre class="syntaxbox">Content-Security-Policy: style-src-elem <source>; Content-Security-Policy: style-src-elem <source> <source>; </pre> <p><code>style-src-elem</code> peut être utilisée conjointement à {{CSP("style-src")}} :</p> -<pre class="notranslate">Content-Security-Policy: <code>style</code>-src <source>; +<pre>Content-Security-Policy: <code>style</code>-src <source>; Content-Security-Policy: <code>style</code>-src-elem <source>;</pre> <h3 id="Sources">Sources</h3> @@ -61,12 +61,6 @@ Content-Security-Policy: <code>style</code>-src-elem <source>;</pre> <dd>Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé.</dd> </dl> -<h2 id="Exemples">Exemples</h2> - -<div class="hidden"> -<p>TODO: add examples</p> -</div> - <h2 id="Spécifications">Spécifications</h2> <table class="standard-table"> diff --git a/files/fr/web/http/headers/content-security-policy/style-src/index.html b/files/fr/web/http/headers/content-security-policy/style-src/index.html index d373fa8477..a8fa19ef1c 100644 --- a/files/fr/web/http/headers/content-security-policy/style-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/style-src/index.html @@ -40,7 +40,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/style-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: style-src <source>; +<pre class="syntaxbox">Content-Security-Policy: style-src <source>; Content-Security-Policy: style-src <source> <source>; </pre> @@ -54,11 +54,11 @@ Content-Security-Policy: style-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: style-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: style-src https://example.com/</pre> <p>Ces feuilles de style seront bloquées et ne se chargeront pas :</p> -<pre class="brush: html notranslate"><link href="https://not-example.com/styles/main.css" rel="stylesheet" type="text/css" /> +<pre class="brush: html"><link href="https://not-example.com/styles/main.css" rel="stylesheet" type="text/css" /> <style> #inline-style { background: red; } @@ -70,21 +70,21 @@ Content-Security-Policy: style-src <source> <source>; <p>De même que les styles chargés avec l'en-tête {{HTTPHeader("Link")}} :</p> -<pre class="brush: bash notranslate">Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet +<pre class="brush: bash">Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet </pre> <p>Les attributes de style seront aussi bloqués :</p> -<pre class="brush: html notranslate"><div style="display:none">Foo</div></pre> +<pre class="brush: html"><div style="display:none">Foo</div></pre> <p>De même que les styles ajoutés par JavaScript en définissant l'attribut <code>style</code> directement, ou en définissant la propriété {{domxref("CSSStyleDeclaration.cssText", "cssText")}} :</p> -<pre class="brush: js notranslate">document.querySelector('div').setAttribute('style', 'display:none;'); +<pre class="brush: js">document.querySelector('div').setAttribute('style', 'display:none;'); document.querySelector('div').style.cssText = 'display:none;';</pre> <p>Toutefois, les propriétés de styles qui sont définies directement dans l'attribut {{domxref("HTMLElement.style", "style")}} ne seront pas bloquées, permettant aux utilisateurs de manipuler sainement les styles avec JavaScript :</p> -<pre class="brush: js notranslate">document.querySelector('div').style.display = 'none';</pre> +<pre class="brush: js">document.querySelector('div').style.display = 'none';</pre> <p>Ce genre de manipulations peut être bloqué en désactivant JavaScript au moyen de la directive CSP {{CSP("script-src")}}.</p> @@ -96,12 +96,12 @@ document.querySelector('div').style.cssText = 'display:none;';</pre> <p>Vous pouvez autoriser les styles embarqués en spécifiant la valeur <code>'unsafe-inline'</code>, des nonces ou des hashs correspondant à la feuille de style.</p> -<pre class="brush: bash notranslate">Content-Security-Policy: style-src 'unsafe-inline'; +<pre class="brush: bash">Content-Security-Policy: style-src 'unsafe-inline'; </pre> <p>Cette directive CSP autorisera toutes les feuilles de styles embarquées telles que l'élément {{HTMLElement("style")}} et l'attribut <code>style</code> sur tous les éléments :</p> -<pre class="brush: html notranslate"><style> +<pre class="brush: html"><style> #inline-style { background: red; } </style> @@ -110,21 +110,21 @@ document.querySelector('div').style.cssText = 'display:none;';</pre> <p>Vous pouvez aussi utiliser un nonce pour autoriser spécifiquement certains éléments {{HTMLElement("style")}} :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: style-src 'nonce-2726c7f26c'</pre> +<pre class="brush: bash">Content-Security-Policy: style-src 'nonce-2726c7f26c'</pre> <p>Vous devrez alors définir ce nonce sur l'élément {{HTMLElement("style")}} :</p> -<pre class="brush: html notranslate"><style nonce="2726c7f26c"> +<pre class="brush: html"><style nonce="2726c7f26c"> #inline-style { background: red; } </style></pre> <p>Autrement, vous pourrez créer des hashs à partir de vos feuilles de styles. CSP accepte les algorithmes sha256, sha384 et sha512.</p> -<pre class="brush: bash notranslate">Content-Security-Policy: style-src 'sha256-a330698cbe9dc4ef1fb12e2ee9fc06d5d14300262fa4dc5878103ab7347e158f'</pre> +<pre class="brush: bash">Content-Security-Policy: style-src 'sha256-a330698cbe9dc4ef1fb12e2ee9fc06d5d14300262fa4dc5878103ab7347e158f'</pre> <p>Lors de la génération du hash, vous ne devez pas inclure les balises et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.).</p> -<pre class="brush: html notranslate"><style>#inline-style { background: red; }</style></pre> +<pre class="brush: html"><style>#inline-style { background: red; }</style></pre> <h3 id="Style_non_fiables">Style non fiables</h3> diff --git a/files/fr/web/http/headers/content-security-policy/trusted-types/index.html b/files/fr/web/http/headers/content-security-policy/trusted-types/index.html index 447823ede5..f1c5d12b6d 100644 --- a/files/fr/web/http/headers/content-security-policy/trusted-types/index.html +++ b/files/fr/web/http/headers/content-security-policy/trusted-types/index.html @@ -14,13 +14,13 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/trusted-types --- <div>{{HTTPSidebar}}</div> -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>trusted-types</strong></code> {{experimental_inline}} informe l'agent utilisateur qu'il faut restreindre la création de règles Trusted Types (fonctions qui créent des valeurs typées non <span>falsifiables, dans le but de les passer au puits XSS du DOM au lieu de chaines de caractères).</span></p> +<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>trusted-types</strong></code> {{experimental_inline}} informe l'agent utilisateur qu'il faut restreindre la création de règles Trusted Types (fonctions qui créent des valeurs typées non falsifiables, dans le but de les passer au puits XSS du DOM au lieu de chaines de caractères).</p> -<p><span>Conjointement à la directive <code><strong><a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/require-trusted-types-for">require-trusted-types-for</a></strong></code>, cette directive permet aux auteurs de définir des règles empêchant d'injecter des données dans le</span><span> DOM et donc de réduire la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture.</span> Cette directive déclare une liste de permissions de noms de règles de Trusted Types créée avec <code>TrustedTypes.createPolicy</code> à partir de l'API Trusted Types.</p> +<p>Conjointement à la directive <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/require-trusted-types-for"><code>require-trusted-types-for</code></a>, cette directive permet aux auteurs de définir des règles empêchant d'injecter des données dans le DOM et donc de réduire la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture. Cette directive déclare une liste de permissions de noms de règles de Trusted Types créée avec <code>TrustedTypes.createPolicy</code> à partir de l'API Trusted Types.</p> <h2 id="Syntaxe">Syntaxe</h2> -<pre class="notranslate">Content-Security-Policy: trusted-types; +<pre>Content-Security-Policy: trusted-types; Content-Security-Policy: trusted-types 'none'; Content-Security-Policy: trusted-types <policyName>; Content-Security-Policy: trusted-types <policyName> <policyName> 'allow-duplicates'; @@ -39,11 +39,11 @@ Content-Security-Policy: trusted-types <policyName> <policyName> 'al <p>Soit l'en-tête CSP :</p> -<pre class="notranslate">Content-Security-Policy: trusted-types foo bar 'allow-duplicates';</pre> +<pre>Content-Security-Policy: trusted-types foo bar 'allow-duplicates';</pre> <p>Ce code génèrera une erreur car une des règles créées a un nom non autorisé :</p> -<pre class="brush: js notranslate">if (typeof trustedTypes !== 'undefined') { +<pre class="brush: js">if (typeof trustedTypes !== 'undefined') { const policyFoo = trustedTypes.createPolicy('foo', {}); const policyFoo2 = trustedTypes.createPolicy('foo', {}); const policyBaz = trustedTypes.createPolicy('baz', {}); // Throws and dispatches a SecurityPolicyViolationEvent. diff --git a/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.html b/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.html index fd0c579403..3b0defb999 100644 --- a/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.html +++ b/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.html @@ -19,45 +19,47 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/upgrade-insecure-reques <p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>upgrade-insecure-requests</strong></code> informe l'agent utilisateur de traiter toutes les URL non sécurisées d'un site (servies avec HTTP) comme si elles avaient été remplacées par des URL sécurisées (servies avec HTTPS). Cette directive est prévue pour les sites web ayant un grand nombre d'URL non sécurisées héritées du passé et qui ont besoin d'être récrites.</p> -<p class="note">La directive <code>upgrade-insecure-requests</code> est évaluée avant la directive {{CSP("block-all-mixed-content")}} et si cette elle est définie, cette dernière est effectivement ignorée. Il est recommendé de ne définir que l'une des deux directives mais non les deux, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.</p> +<div class="notecard note"> + <p><strong>Note :</strong> La directive <code>upgrade-insecure-requests</code> est évaluée avant la directive {{CSP("block-all-mixed-content")}} et si cette elle est définie, cette dernière est effectivement ignorée. Il est recommendé de ne définir que l'une des deux directives mais non les deux, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.</p> +</div> <p>The <code>upgrade-insecure-requests</code> directive will not ensure that users visiting your site via links on third-party sites will be upgraded to HTTPS for the top-level navigation and thus does not replace the {{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}}) header, which should still be set with an appropriate <code>max-age</code> to ensure that users are not subject to SSL stripping attacks.</p> <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Security-Policy: upgrade-insecure-requests;</pre> +<pre class="syntaxbox">Content-Security-Policy: upgrade-insecure-requests;</pre> <h2 id="Exemples">Exemples</h2> <p>Soit cet en-tête CSP :</p> -<pre class="notranslate">Content-Security-Policy: upgrade-insecure-requests; +<pre>Content-Security-Policy: upgrade-insecure-requests; </pre> <p>Et cette balise meta :</p> -<pre class="brush: html notranslate"><meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"></pre> +<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"></pre> <p>Avec cet en-tête défini sur le domaine example.com voulant migrer d'HTTP à HTTPS, les requêtes pour des ressources non sécurisées et non navigationnelles sont automatiquement converties (qu'elles soient internes ou externes).</p> -<pre class="brush: html notranslate"><img src="http://example.com/image.png"> +<pre class="brush: html"><img src="http://example.com/image.png"> <img src="http://not-example.com/image.png"></pre> <p>Ces URL seront récrites avant que la requête soit envoyée, signifiant qu'aucune requête non sécurisée ne sera envoyée. Notez que si la ressource demandée n'est pas actuellement disponible via HTTPS, la requête échouera sans se rabattre sur HTTP.</p> -<pre class="brush: html notranslate"><img src="https://example.com/image.png"> +<pre class="brush: html"><img src="https://example.com/image.png"> <img src="https://not-example.com/image.png"></pre> <p>Les conversions navigationnelles vers des ressources externes amènent un risque significatif de dysfonctionnement étant donné que des requêtes peuvent n'être pas converties, par exemple celles-ci :</p> -<pre class="brush: html notranslate"><a href="https://example.com/">Home</a> +<pre class="brush: html"><a href="https://example.com/">Home</a> <a href="http://not-example.com/">Home</a></pre> <h3 id="Identifier_des_requêtes_non_sécurisées">Identifier des requêtes non sécurisées</h3> <p>À l'aide de l'en-tête {{HTTPHeader("Content-Security-Policy-Report-Only")}} et de la directive {{CSP("report-uri")}}, vous pouvez mettre en place une stratégie de rapportage de violations sans bloquage conjointement à une stratégie de conversion comme :</p> -<pre class="notranslate">Content-Security-Policy: upgrade-insecure-requests; default-src https: +<pre>Content-Security-Policy: upgrade-insecure-requests; default-src https: Content-Security-Policy-Report-Only: default-src https:; report-uri /endpoint</pre> <p>De cette manière, vous convertirez toujours les requêtes non sécurisées sur votre site sécurisé mais la stratégie de rapportage identifiera les requêtes non sécurisées et les rapportera à l'adresse fournie.</p> diff --git a/files/fr/web/http/headers/content-security-policy/worker-src/index.html b/files/fr/web/http/headers/content-security-policy/worker-src/index.html index 5854d16fc7..fd9ee4f21f 100644 --- a/files/fr/web/http/headers/content-security-policy/worker-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/worker-src/index.html @@ -42,7 +42,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/worker-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: worker-src <source>; +<pre class="syntaxbox">Content-Security-Policy: worker-src <source>; Content-Security-Policy: worker-src <source> <source>; </pre> @@ -56,11 +56,11 @@ Content-Security-Policy: worker-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: worker-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: worker-src https://example.com/</pre> <p>{{domxref("Worker")}}, {{domxref("SharedWorker")}} et {{domxref("ServiceWorker")}} seront bloqués et ne se chargeront pas :</p> -<pre class="brush: html notranslate"><script> +<pre class="brush: html"><script> var blockedWorker = new Worker("data:application/javascript,..."); blockedWorker = new SharedWorker("https://not-example.com/"); navigator.serviceWorker.register('https://not-example.com/sw.js'); |