diff options
| author | julieng <julien.gattelier@gmail.com> | 2021-09-17 20:50:13 +0200 |
|---|---|---|
| committer | SphinxKnight <SphinxKnight@users.noreply.github.com> | 2021-10-12 07:57:56 +0200 |
| commit | 0fe03b92344c0f9b0d4ada2146d4480997ab2e25 (patch) | |
| tree | b2b704c9e2987a769980ad0d619ff1bd879c7e34 /files/fr/web/http/headers | |
| parent | df12ec2617159d79d2ea959389358ef52423f9ff (diff) | |
| download | translated-content-0fe03b92344c0f9b0d4ada2146d4480997ab2e25.tar.gz translated-content-0fe03b92344c0f9b0d4ada2146d4480997ab2e25.tar.bz2 translated-content-0fe03b92344c0f9b0d4ada2146d4480997ab2e25.zip | |
convert content to md
Diffstat (limited to 'files/fr/web/http/headers')
74 files changed, 4576 insertions, 5728 deletions
diff --git a/files/fr/web/http/headers/accept-charset/index.md b/files/fr/web/http/headers/accept-charset/index.md index e832f5b513..7f542ec055 100644 --- a/files/fr/web/http/headers/accept-charset/index.md +++ b/files/fr/web/http/headers/accept-charset/index.md @@ -3,79 +3,63 @@ title: Accept-Charset slug: Web/HTTP/Headers/Accept-Charset translation_of: Web/HTTP/Headers/Accept-Charset --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête HTTP de la requête<strong><code>Accept-Charset</code></strong> indique le jeu de caractères que le client est capable de comprendre. À l'aide de la <a href="/en-US/docs/Web/HTTP/Content_negotiation">content negotiation</a>, le serveur sélectionne l'une des propositions, l'utilise et informe le client de son choix dans l'en-tête de réponse {{HTTPHeader ("Content-Type")}}. Les navigateurs ne définissent généralement pas cet en-tête car la valeur par défaut de chaque type de contenu est généralement correcte et sa transmission permettrait une empreinte digitale plus facile.</p> +L'en-tête HTTP de la requête**`Accept-Charset`** indique le jeu de caractères que le client est capable de comprendre. À l'aide de la [content negotiation](/en-US/docs/Web/HTTP/Content_negotiation), le serveur sélectionne l'une des propositions, l'utilise et informe le client de son choix dans l'en-tête de réponse {{HTTPHeader ("Content-Type")}}. Les navigateurs ne définissent généralement pas cet en-tête car la valeur par défaut de chaque type de contenu est généralement correcte et sa transmission permettrait une empreinte digitale plus facile. -<p>Si le serveur ne peut servir aucun jeu de caractères correspondant, il peut théoriquement renvoyer un code d'erreur {{HTTPStatus ("406")}} (non acceptable). Cependant, pour une meilleure expérience utilisateur, cela est rarement fait et le moyen le plus courant consiste à ignorer l'en-tête <code>Accept-Charset</code> dans ce cas.</p> +Si le serveur ne peut servir aucun jeu de caractères correspondant, il peut théoriquement renvoyer un code d'erreur {{HTTPStatus ("406")}} (non acceptable). Cependant, pour une meilleure expérience utilisateur, cela est rarement fait et le moyen le plus courant consiste à ignorer l'en-tête `Accept-Charset` dans ce cas. -<div class="note"> -<p><strong>Note :</strong> Dans les premières versions de HTTP / 1.1, un jeu de caractères par défaut (ISO-8859-1) était défini. Ce n'est plus le cas et maintenant chaque type de contenu peut avoir sa propre valeur par défaut.</p> -</div> +> **Note :** Dans les premières versions de HTTP / 1.1, un jeu de caractères par défaut (ISO-8859-1) était défini. Ce n'est plus le cas et maintenant chaque type de contenu peut avoir sa propre valeur par défaut. <table class="properties"> - <tbody> - <tr> - <th scope="row">Header type</th> - <td>{{Glossary("Request header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>yes</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Header type</th> + <td>{{Glossary("Request header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>yes</td> + </tr> + </tbody> </table> -<h2 id="Syntax">Syntax</h2> +## Syntax -<pre class="syntaxbox">Accept-Charset: <charset> + Accept-Charset: <charset> -// Multiple types, weighted with the {{glossary("quality values", "quality value")}} syntax: -Accept-Charset: utf-8, iso-8859-1;q=0.5</pre> + // Multiple types, weighted with the {{glossary("quality values", "quality value")}} syntax: + Accept-Charset: utf-8, iso-8859-1;q=0.5 -<h2 id="Les_directives">Les directives</h2> +## Les directives -<dl> - <dt><code><charset></code></dt> - <dd>Un jeu de caractères comme utf-8 ou iso-8859-15.</dd> - <dt><code>*</code></dt> - <dd>Tout jeu de caractères non mentionné ailleurs dans l'en-tête; '*' utilisé comme un joker.</dd> - <dt><code>;q=</code> (q-factor weighting)</dt> - <dd>Toute valeur est placée dans un ordre de préférence exprimé à l'aide d'une valeur de qualité relative appelée <em>weight</em>.</dd> -</dl> +- `<charset>` + - : Un jeu de caractères comme utf-8 ou iso-8859-15. +- `*` + - : Tout jeu de caractères non mentionné ailleurs dans l'en-tête; '\*' utilisé comme un joker. +- `;q=` (q-factor weighting) + - : Toute valeur est placée dans un ordre de préférence exprimé à l'aide d'une valeur de qualité relative appelée _weight_. -<h2 id="Examples">Examples</h2> +## Examples -<pre>Accept-Charset: iso-8859-1 + Accept-Charset: iso-8859-1 -Accept-Charset: utf-8, iso-8859-1;q=0.5 + Accept-Charset: utf-8, iso-8859-1;q=0.5 -Accept-Charset: utf-8, iso-8859-1;q=0.5, *;q=0.1 -</pre> + Accept-Charset: utf-8, iso-8859-1;q=0.5, *;q=0.1 -<h2 id="Specifications">Specifications</h2> +## Specifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Specification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7231", "Accept-Charset", "5.3.3")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context</td> - </tr> - </tbody> -</table> +| Specification | Titre | +| -------------------------------------------------------- | ------------------------------------------------------------- | +| {{RFC("7231", "Accept-Charset", "5.3.3")}} | Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context | -<h2 id="Compatibilité_du_navigateur">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Accept-Charset")}}</p> +{{Compat("http.headers.Accept-Charset")}} -<h2 id="Voir_également">Voir également</h2> +## Voir également -<ul> - <li>HTTP <a href="/en-US/docs/Web/HTTP/Content_negotiation">content negotiation</a></li> - <li>Header avec le résultat de la négociation de contenu : {{HTTPHeader("Content-Type")}}</li> - <li>Autres Header similaires : {{HTTPHeader("TE")}}, {{HTTPHeader("Accept-Encoding")}}, {{HTTPHeader("Accept-Language")}}, {{HTTPHeader("Accept")}}</li> -</ul> +- HTTP [content negotiation](/en-US/docs/Web/HTTP/Content_negotiation) +- Header avec le résultat de la négociation de contenu : {{HTTPHeader("Content-Type")}} +- Autres Header similaires : {{HTTPHeader("TE")}}, {{HTTPHeader("Accept-Encoding")}}, {{HTTPHeader("Accept-Language")}}, {{HTTPHeader("Accept")}} diff --git a/files/fr/web/http/headers/accept-encoding/index.md b/files/fr/web/http/headers/accept-encoding/index.md index 42d6228260..8d785a5a8c 100644 --- a/files/fr/web/http/headers/accept-encoding/index.md +++ b/files/fr/web/http/headers/accept-encoding/index.md @@ -3,47 +3,43 @@ title: Accept-Encoding slug: Web/HTTP/Headers/Accept-Encoding translation_of: Web/HTTP/Headers/Accept-Encoding --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête HTTP <strong><code>Accept-Encoding</code></strong> permet de définir quel sera l'encodage du contenu. Il s'agit généralement de l'algorithme de compression utilisé par le serveur. Le client peut alors décoder le corps de la requête correctement. Utilisant <a href="/fr/docs/Web/HTTP/Content_negotiation">la négociation de contenu</a>, le serveur choisit l'une des propositions d'encodage que le client prend en charge. Le serveur l'utilise et le notifie au client à l'aide de l'en-tête de réponse <a href="/fr/docs/Web/HTTP/Headers/Content-Encoding"><code>Content-Encoding</code></a>.</p> +L'en-tête HTTP **`Accept-Encoding`** permet de définir quel sera l'encodage du contenu. Il s'agit généralement de l'algorithme de compression utilisé par le serveur. Le client peut alors décoder le corps de la requête correctement. Utilisant [la négociation de contenu](/fr/docs/Web/HTTP/Content_negotiation), le serveur choisit l'une des propositions d'encodage que le client prend en charge. Le serveur l'utilise et le notifie au client à l'aide de l'en-tête de réponse [`Content-Encoding`](/fr/docs/Web/HTTP/Headers/Content-Encoding). +Même si le client et le serveur supportent deux algorithmes de compressions communs, le serveur peut choisir de ne pas compresser le corps de la réponse si l'encodage `identity` (aucune compression) est accepté par le client. Deux exemples de cas communs peuvent conduire à la non-compression du corps de la réponse : -<p>Même si le client et le serveur supportent deux algorithmes de compressions communs, le serveur peut choisir de ne pas compresser le corps de la réponse si l'encodage <code>identity</code> (aucune compression) est accepté par le client. Deux exemples de cas communs peuvent conduire à la non-compression du corps de la réponse :</p> +- Les données sont déjà compressées et la compression ne réduira pas la taille des données transmises. Cela peut être le cas de certains formats d'images qui sont déjà compressés ; +- Le serveur est en surcharge et ne peut plus allouer suffisamment de temps de calcul nécessaire pour compresser les données. Microsoft recommande de ne pas utiliser la compression si le serveur utilise plus de 80% de la puissance de calcul. +Dès lors que l'usage d'`identity`, signifiant l'absence de compression, n'est pas explicitement interdite, que ce soit par `identity;q=0` ou `*;q=0` (sans l'usage d'une autre valeur pour `identity`), le serveur ne doit jamais renvoyer une erreur [`406`](/fr/docs/Web/HTTP/Status/406) `Not Acceptable.` -<ul> - <li>Les données sont déjà compressées et la compression ne réduira pas la taille des données transmises. Cela peut être le cas de certains formats d'images qui sont déjà compressés ;</li> - <li>Le serveur est en surcharge et ne peut plus allouer suffisamment de temps de calcul nécessaire pour compresser les données. Microsoft recommande de ne pas utiliser la compression si le serveur utilise plus de 80% de la puissance de calcul.</li> -</ul> - -<p>Dès lors que l'usage d'<code>identity</code>, signifiant l'absence de compression, n'est pas explicitement interdite, que ce soit par <code>identity;q=0</code> ou <code>*;q=0</code> (sans l'usage d'une autre valeur pour <code>identity</code>), le serveur ne doit jamais renvoyer une erreur <a href="/fr/docs/Web/HTTP/Status/406"><code>406</code></a> <code>Not Acceptable.</code></p> - -<div class="note"> - <p><strong>Note :</strong> - <ul> - <li>Un dépôt IANA garde à jour <a href="https://www.iana.org/assignments/http-parameters/http-parameters.xml#http-parameters-1">une liste complète des encodages de contenu</a>. - </li> - <li>Deux autres encodages, <code>bzip</code> et <code>bzip2</code>, sont parfois utilisés, bien que non-standards. Ils implémentent l'algorithme utilisé par les deux programmes UNIX respectifs. À noter que le premier n'est plus maintenu suite à des problèmes de licence.</li> - </ul> - </p> -</div> +> **Note :** +> +> - Un dépôt IANA garde à jour [une liste complète des encodages de contenu](https://www.iana.org/assignments/http-parameters/http-parameters.xml#http-parameters-1). +> - Deux autres encodages, `bzip` et `bzip2`, sont parfois utilisés, bien que non-standards. Ils implémentent l'algorithme utilisé par les deux programmes UNIX respectifs. À noter que le premier n'est plus maintenu suite à des problèmes de licence. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td><a href="/fr/docs/Glossary/Request_header">En-tête de requête</a></td> - </tr> - <tr> - <th scope="row"><a href="/fr/docs/Glossary/Forbidden_header_name">Nom d'en-tête interdit</a></th> - <td>Oui</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td><a href="/fr/docs/Glossary/Request_header">En-tête de requête</a></td> + </tr> + <tr> + <th scope="row"> + <a href="/fr/docs/Glossary/Forbidden_header_name" + >Nom d'en-tête interdit</a + > + </th> + <td>Oui</td> + </tr> + </tbody> </table> -<h2 id="syntax">Syntaxe</h2> +## Syntaxe -<pre class="brush: html">Accept-Encoding: gzip +```html +Accept-Encoding: gzip Accept-Encoding: compress Accept-Encoding: deflate Accept-Encoding: br @@ -51,61 +47,46 @@ Accept-Encoding: identity Accept-Encoding: * // Plusieurs algorithmes pondérés par facteur de qualité : -Accept-Encoding: deflate, gzip;q=1.0, *;q=0.5</pre> - -<h2 id="Directives">Directives</h2> - -<dl> - <dt><code>gzip</code></dt> - <dd>Un format de compression utilisant <a href="https://fr.wikipedia.org/wiki/LZ77_et_LZ78#LZ77">Lempel-Ziv coding</a> (LZ77), avec un CRC (Contrôle de Redondance Cyclique) de 32 bits.</dd> - <dt><code>compress</code></dt> - <dd>Un format de compression utilisant l'algorithme <a href="https://fr.wikipedia.org/wiki/Lempel-Ziv-Welch">Lempel-Ziv-Welch</a> (LZW).</dd> - <dt><code>deflate</code></dt> - <dd>Un format de compression utilisant la structure <a href="https://fr.wikipedia.org/wiki/Zlib">zlib</a>, avec l'algorithme de compression <a href="https://fr.wikipedia.org/wiki/Deflate"><em>deflate</em></a>.</dd> - <dt><code>br</code></dt> - <dd>Un format de compression utilisant l'algorithme <a href="https://fr.wikipedia.org/wiki/Brotli">Brotli</a>.</dd> - <dt><code>identity</code></dt> - <dd>Indique la fonction identité (c'est-à-dire pas de compression ou de modification). Cette valeur est toujours considérée comme acceptable, même si l'en-tête ne le précise pas.</dd> - <dt><code>*</code></dt> - <dd>Correspond à tous les systèmes d'encodage de contenu qui n'ont pas été listés dans l'en-tête. C'est la valeur par défaut de l'en-tête s'il n'est pas présent. Cela ne signifie pas que tous les algorithmes sont supportés; seulement qu'aucune préférence n'est exprimée.</dd> - <dt><code>;q=</code> (pondération par qvalues)</dt> - <dd>La valeur indique l'ordre de préférence des méthodes de compression à utiliser. Ce champ utilise les <a href="/fr/docs/Glossary/Quality_values">pondérations de qualité (ou <i>quality values</i> en anglais)</a>.</dd> -</dl> - -<h2 id="examples">Exemples</h2> - -<pre>Accept-Encoding: gzip - -Accept-Encoding: gzip, compress, br - -Accept-Encoding: br;q=1.0, gzip;q=0.8, *;q=0.1 -</pre> - -<h2 id="specifications">Spécifications</h2> - -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Specification</th> - <th scope="col">Title</th> - </tr> - </thead> - <tbody> - <tr> - <td><a href="https://tools.ietf.org/html/rfc7231#section-5.3.4">RFC 7231, section 5.3.4: Accept-Encoding</a></td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context</td> - </tr> - </tbody> -</table> +Accept-Encoding: deflate, gzip;q=1.0, *;q=0.5 +``` + +## Directives + +- `gzip` + - : Un format de compression utilisant [Lempel-Ziv coding](https://fr.wikipedia.org/wiki/LZ77_et_LZ78#LZ77) (LZ77), avec un CRC (Contrôle de Redondance Cyclique) de 32 bits. +- `compress` + - : Un format de compression utilisant l'algorithme [Lempel-Ziv-Welch](https://fr.wikipedia.org/wiki/Lempel-Ziv-Welch) (LZW). +- `deflate` + - : Un format de compression utilisant la structure [zlib](https://fr.wikipedia.org/wiki/Zlib), avec l'algorithme de compression [_deflate_](https://fr.wikipedia.org/wiki/Deflate). +- `br` + - : Un format de compression utilisant l'algorithme [Brotli](https://fr.wikipedia.org/wiki/Brotli). +- `identity` + - : Indique la fonction identité (c'est-à-dire pas de compression ou de modification). Cette valeur est toujours considérée comme acceptable, même si l'en-tête ne le précise pas. +- `*` + - : Correspond à tous les systèmes d'encodage de contenu qui n'ont pas été listés dans l'en-tête. C'est la valeur par défaut de l'en-tête s'il n'est pas présent. Cela ne signifie pas que tous les algorithmes sont supportés; seulement qu'aucune préférence n'est exprimée. +- `;q=` (pondération par qvalues) + - : La valeur indique l'ordre de préférence des méthodes de compression à utiliser. Ce champ utilise les [pondérations de qualité (ou _quality values_ en anglais)](/fr/docs/Glossary/Quality_values). + +## Exemples + + Accept-Encoding: gzip + + Accept-Encoding: gzip, compress, br + + Accept-Encoding: br;q=1.0, gzip;q=0.8, *;q=0.1 + +## Spécifications + +| Specification | Title | +| --------------------------------------------------------------------------------------------- | ------------------------------------------------------------- | +| [RFC 7231, section 5.3.4: Accept-Encoding](https://tools.ietf.org/html/rfc7231#section-5.3.4) | Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context | -<h2 id="browser_compatibility">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Accept-Encoding")}}</p> +{{Compat("http.headers.Accept-Encoding")}} -<h2 id="see_also">Voir aussi</h2> +## Voir aussi -<ul> - <li><a href="/fr/docs/Web/HTTP/Content_negotiation">Négociation de contenu</a> HTTP</li> - <li>En-tête résultant de la négociation de contenu : <a href="/fr/docs/Web/HTTP/Headers/Content-Encoding"><code>Content-Encoding</code></a></li> - <li>Autres en-têtes en rapport : <a href="/fr/docs/Web/HTTP/Headers/TE"><code>TE</code></a>, <a href="/fr/docs/Web/HTTP/Headers/Accept"><code>Accept</code></a>, <a href="/fr/docs/Web/HTTP/Headers/Accept-Charset"><code>Accept-Charset</code></a>, <a href="/fr/docs/Web/HTTP/Headers/Accept-Language"><code>Accept-Language</code></a></li> -</ul> +- [Négociation de contenu](/fr/docs/Web/HTTP/Content_negotiation) HTTP +- En-tête résultant de la négociation de contenu : [`Content-Encoding`](/fr/docs/Web/HTTP/Headers/Content-Encoding) +- Autres en-têtes en rapport : [`TE`](/fr/docs/Web/HTTP/Headers/TE), [`Accept`](/fr/docs/Web/HTTP/Headers/Accept), [`Accept-Charset`](/fr/docs/Web/HTTP/Headers/Accept-Charset), [`Accept-Language`](/fr/docs/Web/HTTP/Headers/Accept-Language) diff --git a/files/fr/web/http/headers/accept-language/index.md b/files/fr/web/http/headers/accept-language/index.md index 0c5663c30c..fc23cb2c34 100644 --- a/files/fr/web/http/headers/accept-language/index.md +++ b/files/fr/web/http/headers/accept-language/index.md @@ -9,85 +9,73 @@ tags: - Reference translation_of: Web/HTTP/Headers/Accept-Language --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête <strong><code>Accept-Language</code></strong> de la requête HTTP indique quelles sont les langues que le client est capable de comprendre, et quelle variante locale est préférée. En utilisant la <a href="/fr-FR/docs/Web/HTTP/Content_negotiation">négociation de contenu</a>, le serveur choisit alors l'une des propositions, l'utilise et informe le client de son choix par l'entête de réponse {{HTTPHeader("Content-Language")}}. Les navigateurs définissent les valeurs adéquates pour cet entête en fonction de la langue de leur interface utilisateur, et même si un utilisateur peut la changer, cela se produit rarement (et cela est vu d'un mauvais œil, dans la mesure où cela permet l'identification par empreinte numérique).</p> +L'en-tête **`Accept-Language`** de la requête HTTP indique quelles sont les langues que le client est capable de comprendre, et quelle variante locale est préférée. En utilisant la [négociation de contenu](/fr-FR/docs/Web/HTTP/Content_negotiation), le serveur choisit alors l'une des propositions, l'utilise et informe le client de son choix par l'entête de réponse {{HTTPHeader("Content-Language")}}. Les navigateurs définissent les valeurs adéquates pour cet entête en fonction de la langue de leur interface utilisateur, et même si un utilisateur peut la changer, cela se produit rarement (et cela est vu d'un mauvais œil, dans la mesure où cela permet l'identification par empreinte numérique). -<p>Cet en-tête est une indication destinée à être utilisée lorsque le serveur n'a aucun moyen de déterminer la langue d'une autre manière, comme une URL spécifique, qui est contrôlée par une décision explicite de l'utilisateur. Il est recommandé que le serveur ne passe jamais outre une décision explicite. Le contenu d'<code>Accept-Language</code> est souvent hors du contrôle de l'utilisateur (comme lors d'un voyage et de l'utilisation d'un cybercafé à l'étranger) ; l'utilisateur peut également vouloir visiter une page dans une langue que celle des paramètres régionaux de son interface utilisateur.</p> +Cet en-tête est une indication destinée à être utilisée lorsque le serveur n'a aucun moyen de déterminer la langue d'une autre manière, comme une URL spécifique, qui est contrôlée par une décision explicite de l'utilisateur. Il est recommandé que le serveur ne passe jamais outre une décision explicite. Le contenu d'`Accept-Language` est souvent hors du contrôle de l'utilisateur (comme lors d'un voyage et de l'utilisation d'un cybercafé à l'étranger) ; l'utilisateur peut également vouloir visiter une page dans une langue que celle des paramètres régionaux de son interface utilisateur. -<p>Si le serveur ne peut servir aucune langue qui corresponde, il peut théoriquement renvoyer un code d'erreur {{HTTPStatus ("406")}} (Not Acceptable). Mais, pour une meilleure expérience utilisateur, cela est rarement fait et la façon de faire la plus courante est d'ignorer l'en-tête <code>Accept-Language</code> dans ce cas.</p> +Si le serveur ne peut servir aucune langue qui corresponde, il peut théoriquement renvoyer un code d'erreur {{HTTPStatus ("406")}} (Not Acceptable). Mais, pour une meilleure expérience utilisateur, cela est rarement fait et la façon de faire la plus courante est d'ignorer l'en-tête `Accept-Language` dans ce cas. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("Request header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - <tr> - <th scope="row">{{Glossary("Simple header", "CORS-safelisted request-header")}}</th> - <td>oui</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("Request header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + <tr> + <th scope="row"> + {{Glossary("Simple header", "CORS-safelisted request-header")}} + </th> + <td>oui</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Accept-Language: <langue> -Accept-Language: <locale> -Accept-Language: * + Accept-Language: <langue> + Accept-Language: <locale> + Accept-Language: * -// Type multiples, pondérés par la syntaxe {{glossary("quality values", "valeur de qualité")}} : -Accept-Language: fr-CH, fr;q=0.9, en;q=0.8, de;q=0.7, *;q=0.5</pre> + // Type multiples, pondérés par la syntaxe {{glossary("quality values", "valeur de qualité")}} : + Accept-Language: fr-CH, fr;q=0.9, en;q=0.8, de;q=0.7, *;q=0.5 -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><code><langue></code></dt> - <dd>Une langue exprimée sous la forme de 2 ou 3 caractères.</dd> - <dt><code><locale></code></dt> - <dd>Une balise de langue complète. En plus de la langue elle-même, elle peut contenir des informations additionnelles après un<code>'-'</code>. L'information supplémentaire la plus courante est la variante de pays (telle que<code>'en-US'</code>) ou le type d'alphabet à utiliser (comme<code>'sr-Lat'</code>). D'autres variantes comme le type d'orthographe (<code>'de-DE-1996'</code>) ne sont pas habituellement utilisées dans le contexte de cet en-tête.</dd> - <dt><code>*</code></dt> - <dd>Toute langue ; <code>'*'</code> est utilisé comme un joker.</dd> - <dt><code>;q=</code> (pondération q-factor)</dt> - <dd>Une quantité numérique donnant un ordre de préférence et qui utilise une <a href="/en-US/docs/Glossary/Quality_values">valeur de qualité</a> relative, appelée <em>poids</em>.</dd> -</dl> +- `<langue>` + - : Une langue exprimée sous la forme de 2 ou 3 caractères. +- `<locale>` + - : Une balise de langue complète. En plus de la langue elle-même, elle peut contenir des informations additionnelles après un`'-'`. L'information supplémentaire la plus courante est la variante de pays (telle que`'en-US'`) ou le type d'alphabet à utiliser (comme`'sr-Lat'`). D'autres variantes comme le type d'orthographe (`'de-DE-1996'`) ne sont pas habituellement utilisées dans le contexte de cet en-tête. +- `*` + - : Toute langue ; `'*'` est utilisé comme un joker. +- `;q=` (pondération q-factor) + - : Une quantité numérique donnant un ordre de préférence et qui utilise une [valeur de qualité](/en-US/docs/Glossary/Quality_values) relative, appelée _poids_. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Accept-Language: de + Accept-Language: de -Accept-Language: de-CH + Accept-Language: de-CH -Accept-Language: en-US,en;q=0.5 -</pre> + Accept-Language: en-US,en;q=0.5 -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7231", "Accept-Language", "5.3.5")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context</td> - </tr> - </tbody> -</table> +| Spécification | Titre | +| -------------------------------------------------------- | ------------------------------------------------------------- | +| {{RFC("7231", "Accept-Language", "5.3.5")}} | Hypertext Transfer Protocol (HTTP/1.1): Semantics and Context | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Accept-Language")}}</p> +{{Compat("http.headers.Accept-Language")}} -<h2 id="Voir_également">Voir également</h2> +## Voir également -<ul> - <li>HTTP <a href="/fr-FR/docs/Web/HTTP/Content_negotiation">négociation de contenu</a></li> - <li>En-tête avec le résultat de la négociation de contenu : {{HTTPHeader("Content-Language")}}</li> - <li>Autres en-têtes similaires : {{HTTPHeader("TE")}}, {{HTTPHeader("Accept-Encoding")}}, {{HTTPHeader("Accept-Charset")}}, {{HTTPHeader("Accept")}}</li> -</ul> +- HTTP [négociation de contenu](/fr-FR/docs/Web/HTTP/Content_negotiation) +- En-tête avec le résultat de la négociation de contenu : {{HTTPHeader("Content-Language")}} +- Autres en-têtes similaires : {{HTTPHeader("TE")}}, {{HTTPHeader("Accept-Encoding")}}, {{HTTPHeader("Accept-Charset")}}, {{HTTPHeader("Accept")}} diff --git a/files/fr/web/http/headers/accept/index.md b/files/fr/web/http/headers/accept/index.md index 2f27ede072..62b38864b0 100644 --- a/files/fr/web/http/headers/accept/index.md +++ b/files/fr/web/http/headers/accept/index.md @@ -8,81 +8,69 @@ tags: - Reference translation_of: Web/HTTP/Headers/Accept --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>Le paramètre d'entête de requête HTTP <code><strong>Accept</strong></code> indique quels sont les types de contenu, exprimés sous la forme de types MIME, que le client sera capable d'interpréter. Par le biais de la résolution de contenu -(<a href="/en-US/docs/Web/HTTP/Content_negotiation">content negotiation</a>), le serveur sélectionne ensuite une proposition parmi toutes, l'utilise et informe le client de son choix avec l'entête de réponse {{HTTPHeader("Content-Type")}}. Les navigateurs fixent des valeurs adéquates pour cet entête selon le contexte où la requête a été exécutée : selon que l'utilisateur souhaite récupérer une feuille de style css, ou qu'il souhaite récupérer une image, une vidéo ou un script, la valeur fixée pour la requête ne sera pas la même.</p> +Le paramètre d'entête de requête HTTP **`Accept`** indique quels sont les types de contenu, exprimés sous la forme de types MIME, que le client sera capable d'interpréter. Par le biais de la résolution de contenu -([content negotiation](/en-US/docs/Web/HTTP/Content_negotiation)), le serveur sélectionne ensuite une proposition parmi toutes, l'utilise et informe le client de son choix avec l'entête de réponse {{HTTPHeader("Content-Type")}}. Les navigateurs fixent des valeurs adéquates pour cet entête selon le contexte où la requête a été exécutée : selon que l'utilisateur souhaite récupérer une feuille de style css, ou qu'il souhaite récupérer une image, une vidéo ou un script, la valeur fixée pour la requête ne sera pas la même. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'entête</th> - <td>{{Glossary("Request header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - <tr> - <th scope="row">{{Glossary("Simple header", "CORS-safelisted request-header")}}</th> - <td>oui</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'entête</th> + <td>{{Glossary("Request header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + <tr> + <th scope="row"> + {{Glossary("Simple header", "CORS-safelisted request-header")}} + </th> + <td>oui</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Accept: <MIME_type>/<MIME_subtype> -Accept: <MIME_type>/* -Accept: */* + Accept: <MIME_type>/<MIME_subtype> + Accept: <MIME_type>/* + Accept: */* -// Types multiples, pondérés {{glossary("quality values", "quality value")}} par la syntaxe : -Accept: text/html, application/xhtml+xml, application/xml;q=0.9, */*;q=0.8</pre> + // Types multiples, pondérés {{glossary("quality values", "quality value")}} par la syntaxe : + Accept: text/html, application/xhtml+xml, application/xml;q=0.9, */*;q=0.8 -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><code><MIME_type>/<MIME_subtype></code></dt> - <dd>Un type MIME unique et déterminé <a href="/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types">MIME type</a>, comme par exemple <code>text/html</code>.</dd> - <dt><code><MIME_type>/*</code></dt> - <dd>un type MIME type ne comprenant pas de sous-type. <code>image/*</code> prendra en charge <code>image/png</code>, <code>image/svg</code>, <code>image/gif</code> et tous autres types d'image.</dd> - <dt><code>*/*</code></dt> - <dd>Tout type MIME </dd> - <dt><code>;q=</code> (facteur de pondération q)</dt> - <dd>N'importe quelle valeur utilisée est placée selon un ordre de préférence exprimé par une valeur de qualité (<a href="/en-US/docs/Glossary/Quality_values">quality value</a>) relative appelée le <em>poids</em>.</dd> -</dl> +- `<MIME_type>/<MIME_subtype>` + - : Un type MIME unique et déterminé [MIME type](/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types), comme par exemple `text/html`. +- `<MIME_type>/*` + - : un type MIME type ne comprenant pas de sous-type. `image/*` prendra en charge `image/png`, `image/svg`, `image/gif` et tous autres types d'image. +- `*/*` + - : Tout type MIME +- `;q=` (facteur de pondération q) + - : N'importe quelle valeur utilisée est placée selon un ordre de préférence exprimé par une valeur de qualité ([quality value](/en-US/docs/Glossary/Quality_values)) relative appelée le _poids_. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Accept: text/html + Accept: text/html -Accept: image/* + Accept: image/* -Accept: text/html, application/xhtml+xml, application/xml;q=0.9, */*;q=0.8 -</pre> + Accept: text/html, application/xhtml+xml, application/xml;q=0.9, */*;q=0.8 -<h2 id="Specifications">Specifications</h2> +## Specifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Specification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7231", "Accept", "5.3.2")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Vocabulaire et cas d'usage</td> - </tr> - </tbody> -</table> +| Specification | Titre | +| -------------------------------------------- | ------------------------------------------------------------------ | +| {{RFC("7231", "Accept", "5.3.2")}} | Hypertext Transfer Protocol (HTTP/1.1): Vocabulaire et cas d'usage | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Accept")}}</p> +{{Compat("http.headers.Accept")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>HTTP <a href="/en-US/docs/Web/HTTP/Content_negotiation">content negotiation</a></li> - <li>Entête avec le résultat de la résolution de contenu : {{HTTPHeader("Content-Type")}}</li> - <li>Autres entêtes similaires : {{HTTPHeader("TE")}}, {{HTTPHeader("Accept-Encoding")}}, {{HTTPHeader("Accept-Charset")}}, {{HTTPHeader("Accept-Language")}}</li> -</ul> +- HTTP [content negotiation](/en-US/docs/Web/HTTP/Content_negotiation) +- Entête avec le résultat de la résolution de contenu : {{HTTPHeader("Content-Type")}} +- Autres entêtes similaires : {{HTTPHeader("TE")}}, {{HTTPHeader("Accept-Encoding")}}, {{HTTPHeader("Accept-Charset")}}, {{HTTPHeader("Accept-Language")}} diff --git a/files/fr/web/http/headers/access-control-allow-methods/index.md b/files/fr/web/http/headers/access-control-allow-methods/index.md index 1460b08bec..03f66f0483 100644 --- a/files/fr/web/http/headers/access-control-allow-methods/index.md +++ b/files/fr/web/http/headers/access-control-allow-methods/index.md @@ -8,77 +8,57 @@ tags: - entête translation_of: Web/HTTP/Headers/Access-Control-Allow-Methods --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'entête de réponse <strong><code>Access-Control-Allow-Methods</code></strong> spécifie les méthodes autorisées quand on accède à la ressource en réponse à une requête de pré-vérification ({{glossary("preflight request")}}).</p> +L'entête de réponse **`Access-Control-Allow-Methods`** spécifie les méthodes autorisées quand on accède à la ressource en réponse à une requête de pré-vérification ({{glossary("preflight request")}}). <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'entête</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'entête</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Access-Control-Allow-Methods: <methode>, <methode>, ... -</pre> + Access-Control-Allow-Methods: <methode>, <methode>, ... -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><methode></dt> - <dd>Liste délimitée par des virgules des <a href="/en-US/docs/Web/HTTP/Methods">méthodes de requêtes HTTP</a> autorisées.</dd> -</dl> +- \<methode> + - : Liste délimitée par des virgules des [méthodes de requêtes HTTP](/en-US/docs/Web/HTTP/Methods) autorisées. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Access-Control-Allow-Methods: POST, GET, OPTIONS</pre> + Access-Control-Allow-Methods: POST, GET, OPTIONS -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{SpecName('Fetch','#http-access-control-allow-methods', 'Access-Control-Allow-Methods')}}</td> - <td>{{Spec2("Fetch")}}</td> - <td>Définition initiale</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------------------------------------------------------ | ------------------------ | ------------------- | +| {{SpecName('Fetch','#http-access-control-allow-methods', 'Access-Control-Allow-Methods')}} | {{Spec2("Fetch")}} | Définition initiale | + +## Compatibilité avec les navigateurs -<h2 id="Compatibilité_avec_les_navigateurs">Compatibilité avec les navigateurs</h2> +{{Compat("http.headers.Access-Control-Allow-Methods")}} -<p>{{Compat("http.headers.Access-Control-Allow-Methods")}}</p> +## Notes de compatibilité -<h2 id="Notes_de_compatibilité">Notes de compatibilité</h2> +- La valeur joker (\*) mentionnée dans la dernière version de la spécification n'est pas encore implémentée dans tous les navigateurs : -<ul> - <li>La valeur joker (*) mentionnée dans la dernière version de la spécification n'est pas encore implémentée dans tous les navigateurs : - <ul> - <li>Chromium: <a href="https://bugs.chromium.org/p/chromium/issues/detail?id=615313">Issue 615313</a></li> - <li>Firefox: {{bug(1309358)}}</li> - <li>Servo: <a href="https://github.com/servo/servo/issues/13283">Issue 13283</a></li> - </ul> - </li> -</ul> + - Chromium: [Issue 615313](https://bugs.chromium.org/p/chromium/issues/detail?id=615313) + - Firefox: {{bug(1309358)}} + - Servo: [Issue 13283](https://github.com/servo/servo/issues/13283) -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Access-Control-Allow-Origin")}}</li> - <li>{{HTTPHeader("Access-Control-Expose-Headers")}}</li> - <li>{{HTTPHeader("Access-Control-Allow-Headers")}}</li> - <li>{{HTTPHeader("Access-Control-Request-Method")}}</li> -</ul> +- {{HTTPHeader("Access-Control-Allow-Origin")}} +- {{HTTPHeader("Access-Control-Expose-Headers")}} +- {{HTTPHeader("Access-Control-Allow-Headers")}} +- {{HTTPHeader("Access-Control-Request-Method")}} diff --git a/files/fr/web/http/headers/access-control-allow-origin/index.md b/files/fr/web/http/headers/access-control-allow-origin/index.md index 359319cc18..1e4d094efd 100644 --- a/files/fr/web/http/headers/access-control-allow-origin/index.md +++ b/files/fr/web/http/headers/access-control-allow-origin/index.md @@ -3,80 +3,64 @@ title: Access-Control-Allow-Origin slug: Web/HTTP/Headers/Access-Control-Allow-Origin translation_of: Web/HTTP/Headers/Access-Control-Allow-Origin --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'entête <code><strong>Access-Control-Allow-Origin</strong></code> renvoie une réponse indiquant si les ressources peuvent être partagées avec une <a href="/fr/docs/Glossaire/Origine">origine</a> donnée.</p> +L'entête **`Access-Control-Allow-Origin`** renvoie une réponse indiquant si les ressources peuvent être partagées avec une [origine](/fr/docs/Glossaire/Origine) donnée. <table class="properties"> - <tbody> - <tr> - <th scope="row">Header type</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>no</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Header type</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>no</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Access-Control-Allow-Origin: * -Access-Control-Allow-Origin: <origin> -Access-Control-Allow-Origin: null -</pre> + Access-Control-Allow-Origin: * + Access-Control-Allow-Origin: <origin> + Access-Control-Allow-Origin: null -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt>*</dt> - <dd>Pour les demandes sans informations d’identification, le serveur peut spécifier « * » comme un caractère générique, permettant ainsi à n’importe quelle origine d'accéder à la ressource.</dd> - <dt><origin></dt> - <dd>Spécifie un URI qui peut accéder à la ressource. Il n'est possible de spécifier qu'une seule origine.</dd> -</dl> +- \* + - : Pour les demandes sans informations d’identification, le serveur peut spécifier « \* » comme un caractère générique, permettant ainsi à n’importe quelle origine d'accéder à la ressource. +- \<origin> + - : Spécifie un URI qui peut accéder à la ressource. Il n'est possible de spécifier qu'une seule origine. -<h2 id="Exemples">Exemples</h2> +## Exemples -<p>Pour permettre à n'importe quelle ressource d'accéder à vos ressources, vous pouvez indiquer :</p> +Pour permettre à n'importe quelle ressource d'accéder à vos ressources, vous pouvez indiquer : -<pre>Access-Control-Allow-Origin: *</pre> + Access-Control-Allow-Origin: * -<p>Pour permettre <code>https://developer.mozilla.org</code> d'accéder à vos ressources, vous pouvez indiquer :</p> +Pour permettre `https://developer.mozilla.org` d'accéder à vos ressources, vous pouvez indiquer : -<pre>Access-Control-Allow-Origin: https://developer.mozilla.org</pre> + Access-Control-Allow-Origin: https://developer.mozilla.org -<h3 id="CORS_et_le_cache">CORS et le cache</h3> +### CORS et le cache -<p>Si le serveur spécifie un hôte d'origine plutôt que "*", il doit également inclure "<em>Origin</em>" dans l'en-tête de réponse "<em><a href="/fr/docs/Web/HTTP/Headers/Vary">Vary</a></em>" pour indiquer aux clients que les réponses du serveur seront différentes en fonction de la valeur de la demande d'origine entête.</p> +Si le serveur spécifie un hôte d'origine plutôt que "\*", il doit également inclure "_Origin_" dans l'en-tête de réponse "_[Vary](/fr/docs/Web/HTTP/Headers/Vary)_" pour indiquer aux clients que les réponses du serveur seront différentes en fonction de la valeur de la demande d'origine entête. -<pre>Access-Control-Allow-Origin: https://developer.mozilla.org -Vary: Origin</pre> + Access-Control-Allow-Origin: https://developer.mozilla.org + Vary: Origin -<h2 id="Caractéristiques">Caractéristiques</h2> +## Caractéristiques -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Caractéristiques</th> - <th scope="col">Statue</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{SpecName('Fetch','#http-access-control-allow-origin', 'Access-Control-Allow-Origin')}}</td> - <td>{{Spec2("Fetch")}}</td> - <td>Initial definition.</td> - </tr> - </tbody> -</table> +| Caractéristiques | Statue | Commentaire | +| -------------------------------------------------------------------------------------------------------------------- | ------------------------ | ------------------- | +| {{SpecName('Fetch','#http-access-control-allow-origin', 'Access-Control-Allow-Origin')}} | {{Spec2("Fetch")}} | Initial definition. | -<h2 id="Compatibilité">Compatibilité</h2> +## Compatibilité -<p>{{Compat("http.headers.Access-Control-Allow-Origin")}}</p> +{{Compat("http.headers.Access-Control-Allow-Origin")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Origin")}}</li> - <li>{{HTTPHeader("Vary")}}</li> -</ul> +- {{HTTPHeader("Origin")}} +- {{HTTPHeader("Vary")}} diff --git a/files/fr/web/http/headers/access-control-request-headers/index.md b/files/fr/web/http/headers/access-control-request-headers/index.md index 4a181b1335..0445c92aa6 100644 --- a/files/fr/web/http/headers/access-control-request-headers/index.md +++ b/files/fr/web/http/headers/access-control-request-headers/index.md @@ -8,64 +8,48 @@ tags: - pré-vérification translation_of: Web/HTTP/Headers/Access-Control-Request-Headers --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'entête <strong><code>Access-Control-Request-Headers</code></strong> est utilisé quand une requête de pré-vérification ({{glossary("preflight request")}}) et faite vers le serveur pour savoir les entêtes qui seront utilisés après la pré-vérification.</p> +L'entête **`Access-Control-Request-Headers`** est utilisé quand une requête de pré-vérification ({{glossary("preflight request")}}) et faite vers le serveur pour savoir les entêtes qui seront utilisés après la pré-vérification. <table class="properties"> - <tbody> - <tr> - <th scope="row">Header type</th> - <td>{{Glossary("Request header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>yes</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Header type</th> + <td>{{Glossary("Request header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>yes</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Access-Control-Request-Headers: <header-name>, <header-name>, ... -</pre> + Access-Control-Request-Headers: <header-name>, <header-name>, ... -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><header-name></dt> - <dd>Une liste <a href="/en-US/docs/Web/HTTP/Headers">d'entête HTTP</a> séparé par des virgules qui sont inclus dans la requête.</dd> -</dl> +- \<header-name> + - : Une liste [d'entête HTTP](/en-US/docs/Web/HTTP/Headers) séparé par des virgules qui sont inclus dans la requête. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Access-Control-Request-Headers: X-PINGOTHER, Content-Type</pre> + Access-Control-Request-Headers: X-PINGOTHER, Content-Type -<p>Dans cet exemple le serveur en réponse à la demande de pré-vérification indiquer au demandeur de la pré-vérification que la requête suivante sera accepté si elle contient <em>X-PINGOTHER</em> ou <em>Content-type</em>.</p> +Dans cet exemple le serveur en réponse à la demande de pré-vérification indiquer au demandeur de la pré-vérification que la requête suivante sera accepté si elle contient _X-PINGOTHER_ ou _Content-type_. -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Status</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{SpecName('Fetch','#http-access-control-request-headers', 'Access-Control-Request-Headers')}}</td> - <td>{{Spec2("Fetch")}}</td> - <td>Initial definition.</td> - </tr> - </tbody> -</table> +| Spécification | Status | Commentaire | +| ---------------------------------------------------------------------------------------------------------------------------- | ------------------------ | ------------------- | +| {{SpecName('Fetch','#http-access-control-request-headers', 'Access-Control-Request-Headers')}} | {{Spec2("Fetch")}} | Initial definition. | -<h2 id="Compatibilité_navigateur">Compatibilité navigateur</h2> +## Compatibilité navigateur -<p>{{Compat("http/headers/access-control-request-headers")}}</p> +{{Compat("http/headers/access-control-request-headers")}} -<h2 id="Voir_également">Voir également</h2> +## Voir également -<ul> - <li>{{HTTPHeader("Access-Control-Request-Method")}}</li> -</ul> +- {{HTTPHeader("Access-Control-Request-Method")}} diff --git a/files/fr/web/http/headers/age/index.md b/files/fr/web/http/headers/age/index.md index fc78feaa3e..a455987bbd 100644 --- a/files/fr/web/http/headers/age/index.md +++ b/files/fr/web/http/headers/age/index.md @@ -3,67 +3,51 @@ title: Age slug: Web/HTTP/Headers/Age translation_of: Web/HTTP/Headers/Age --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'entête HTTP {{HTTPHeader("Age")}} indique le temps en secondes pendant lequel la ressource a été stockée dans un cache proxy.</p> +L'entête HTTP {{HTTPHeader("Age")}} indique le temps en secondes pendant lequel la ressource a été stockée dans un cache proxy. + +Sa valeur est généralement proche de zéro. Elle vaut 0 lorsque la ressource vient d'être rapatriée du serveur d'origine; autrement, sa valeur équivaut à la différence entre la date courante du proxy et la valeur de l'entête {{HTTPHeader("Date")}} inclus dans la réponse HTTP. -<p>Sa valeur est généralement proche de zéro. Elle vaut 0 lorsque la ressource vient d'être rapatriée du serveur d'origine; autrement, sa valeur équivaut à la différence entre la date courante du proxy et la valeur de l'entête {{HTTPHeader("Date")}} inclus dans la réponse HTTP.</p> -<p> </p> <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'entête</th> - <td>Entête de réponse</td> - </tr> - <tr> - <th scope="row">Nom d'entête interdit</th> - <td>non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'entête</th> + <td>Entête de réponse</td> + </tr> + <tr> + <th scope="row">Nom d'entête interdit</th> + <td>non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Age: <valeur-en-secondes> -</pre> + Age: <valeur-en-secondes> -<h2 id="Directive">Directive</h2> +## Directive -<dl> - <dt><valeur-en-secondes></dt> - <dd> - <p>Un entier positif indiquant le temps en secondes pendant lequel la ressource a été stockée dans un cache proxy.</p> - </dd> -</dl> +- \<valeur-en-secondes> + - : Un entier positif indiquant le temps en secondes pendant lequel la ressource a été stockée dans un cache proxy. -<h2 id="Exemple">Exemple</h2> +## Exemple -<pre>Age: 24</pre> + Age: 24 -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7234", "Age", "5.1")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Caching</td> - </tr> - </tbody> -</table> +| Spécification | Titre | +| ---------------------------------------- | ----------------------------------------------- | +| {{RFC("7234", "Age", "5.1")}} | Hypertext Transfer Protocol (HTTP/1.1): Caching | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Age")}}</p> +{{Compat("http.headers.Age")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Cache-Control")}}</li> - <li>{{HTTPHeader("Expires")}}</li> -</ul> +- {{HTTPHeader("Cache-Control")}} +- {{HTTPHeader("Expires")}} diff --git a/files/fr/web/http/headers/allow/index.md b/files/fr/web/http/headers/allow/index.md index e8605d2bfa..35e5badcc2 100644 --- a/files/fr/web/http/headers/allow/index.md +++ b/files/fr/web/http/headers/allow/index.md @@ -8,59 +8,45 @@ tags: - entête translation_of: Web/HTTP/Headers/Allow --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'entête <code><strong>Allow</strong></code> liste les méthodes supportées par une ressource.</p> +L'entête **`Allow`** liste les méthodes supportées par une ressource. -<p>Cet entête doit être envoyée si le serveur répond avec un statut {{HTTPStatus("405")}} <code>Method Not Allowed</code> pour indiquer quelles méthodes peuvent être utilisées pour la requête. Une entête <code>Allow</code> vide indique que la ressource n'autorise aucune méthode, ce qui peut erriver temporairement pour une ressource donnée, par exemple.</p> +Cet entête doit être envoyée si le serveur répond avec un statut {{HTTPStatus("405")}} `Method Not Allowed` pour indiquer quelles méthodes peuvent être utilisées pour la requête. Une entête `Allow` vide indique que la ressource n'autorise aucune méthode, ce qui peut erriver temporairement pour une ressource donnée, par exemple. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'entête</th> - <td>{{Glossary("Entity header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'entête</th> + <td>{{Glossary("Entity header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Allow: <methodes-http> -</pre> + Allow: <methodes-http> -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><methodes-http></dt> - <dd>La liste des <a href="/en-US/docs/Web/HTTP/Methods">méthodes de requête HTTP</a> autorisées, séparées par des virgules.</dd> -</dl> +- \<methodes-http> + - : La liste des [méthodes de requête HTTP](/en-US/docs/Web/HTTP/Methods) autorisées, séparées par des virgules. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Allow: GET, POST, HEAD</pre> + Allow: GET, POST, HEAD -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7231", "Allow", "7.4.1")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content</td> - </tr> - </tbody> -</table> +| Spécification | Titre | +| -------------------------------------------- | ------------------------------------------------------------- | +| {{RFC("7231", "Allow", "7.4.1")}} | Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content | -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPStatus("405")}}</li> - <li>{{HTTPHeader("Server")}}</li> -</ul> +- {{HTTPStatus("405")}} +- {{HTTPHeader("Server")}} diff --git a/files/fr/web/http/headers/authorization/index.md b/files/fr/web/http/headers/authorization/index.md index 065c4fc78a..134d478a99 100644 --- a/files/fr/web/http/headers/authorization/index.md +++ b/files/fr/web/http/headers/authorization/index.md @@ -8,82 +8,65 @@ tags: - requête translation_of: Web/HTTP/Headers/Authorization --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête de requête HTTP <strong><code>Authorization </code></strong>contient les identifiants permettant l'authentification d'un utilisateur auprès d'un serveur, habituellement après que le serveur ait répondu avec un statut {{HTTPStatus("401")}} <code>Unauthorized</code> et l'en-tête {{HTTPHeader("WWW-Authenticate")}}</p> +L'en-tête de requête HTTP **`Authorization `**contient les identifiants permettant l'authentification d'un utilisateur auprès d'un serveur, habituellement après que le serveur ait répondu avec un statut {{HTTPStatus("401")}} `Unauthorized` et l'en-tête {{HTTPHeader("WWW-Authenticate")}} <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("Request header")}}</td> - </tr> - <tr> - <th scope="row"><a href="/fr/docs/Glossaire/Forbidden_header_name">Nom d'en-tête interdit</a></th> - <td>Non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("Request header")}}</td> + </tr> + <tr> + <th scope="row"> + <a href="/fr/docs/Glossaire/Forbidden_header_name" + >Nom d'en-tête interdit</a + > + </th> + <td>Non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> - -<pre class="syntaxbox">Authorization: <type> <credentials></pre> - -<h2 id="Directives">Directives</h2> - -<dl> - <dt><em><type></em></dt> - <dd><p><a href="/fr/docs/Web/HTTP/Authentication#Schéma_d'authentification">Le type d'authentification</a>. Le type <code><a href="/en-US/docs/Web/HTTP/Authentication#Basic_authentication_scheme">"Basic"</a></code> est souvent utilisé. Pour connaître les autres types :</p> - <ul> - <li><a href="http://www.iana.org/assignments/http-authschemes/http-authschemes.xhtml">IANA registry of Authentication schemes</a></li> - </ul> - </dd> - <dt><em><credentials></em></dt> - <dd><p>Si c'est le type d'authentification <code>"Basic"</code> qui est utilisé, les identifiants sont construits de la manière suivante :</p> - <ul> - <li>L'identifiant de l'utilisateur et le mot de passe sont combinés avec deux-points : (<code>aladdin:sesameOuvreToi</code>).</li> - <li>Cette chaîne de caractères est ensuite encodée en <a href="/fr/docs/Web/API/WindowBase64/Décoder_encoder_en_base64">base64</a> (<code>YWxhZGRpbjpzZXNhbWVPdXZyZVRvaQ==</code>).</li> - </ul> - <div class="note"> - <p><strong>Note :</strong> L'encodage en Base64 n'est pas un chiffrement ou un hachage ! Cette méthode est aussi peu sûre que d'envoyer les identifiants en clair (l'encodage base64 est un encodage réversible). Il faudra privilégier HTTPS lorsqu'on emploie une authentification "basique".</p> - </div> - </dd> -</dl> - -<h2 id="Exemples">Exemples</h2> - -<pre>Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l -</pre> - -<p>Voir aussi l'article <a href="/fr/docs/Web/HTTP/Authentication">authentification HTTP</a> avec des exemples de configuration de serveurs Apache ou nginx pour protéger votre site grâce à un mot de passe et l'authentification HTTP basique.</p> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{RFC("7235", "Authorization", "4.2")}}</td> - <td>HTTP/1.1 : Authentification</td> - </tr> - <tr> - <td>{{RFC("7617")}}</td> - <td>Schéma d'Authentification HTTP 'Basic'</td> - </tr> - </tbody> -</table> +## Syntaxe + + Authorization: <type> <credentials> + +## Directives + +- _\<type>_ + + - : [Le type d'authentification](/fr/docs/Web/HTTP/Authentication#Schéma_d'authentification). Le type [`"Basic"`](/en-US/docs/Web/HTTP/Authentication#Basic_authentication_scheme) est souvent utilisé. Pour connaître les autres types : + + - [IANA registry of Authentication schemes](http://www.iana.org/assignments/http-authschemes/http-authschemes.xhtml) + +- _\<credentials>_ + + - : Si c'est le type d'authentification `"Basic"` qui est utilisé, les identifiants sont construits de la manière suivante : + + - L'identifiant de l'utilisateur et le mot de passe sont combinés avec deux-points : (`aladdin:sesameOuvreToi`). + - Cette chaîne de caractères est ensuite encodée en [base64](/fr/docs/Web/API/WindowBase64/Décoder_encoder_en_base64) (`YWxhZGRpbjpzZXNhbWVPdXZyZVRvaQ==`). + + > **Note :** L'encodage en Base64 n'est pas un chiffrement ou un hachage ! Cette méthode est aussi peu sûre que d'envoyer les identifiants en clair (l'encodage base64 est un encodage réversible). Il faudra privilégier HTTPS lorsqu'on emploie une authentification "basique". + +## Exemples + + Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l + +Voir aussi l'article [authentification HTTP](/fr/docs/Web/HTTP/Authentication) avec des exemples de configuration de serveurs Apache ou nginx pour protéger votre site grâce à un mot de passe et l'authentification HTTP basique. + +## Spécifications + +| Spécification | Titre | +| ---------------------------------------------------- | -------------------------------------- | +| {{RFC("7235", "Authorization", "4.2")}} | HTTP/1.1 : Authentification | +| {{RFC("7617")}} | Schéma d'Authentification HTTP 'Basic' | -<h2 id="Voir">Voir</h2> +## Voir -<ul> - <li><a href="/fr/docs/Web/HTTP/Authentication">L'authentification HTTP</a></li> - <li>{{HTTPHeader("WWW-Authenticate")}}</li> - <li>{{HTTPHeader("Proxy-Authorization")}}</li> - <li>{{HTTPHeader("Proxy-Authenticate")}}</li> - <li>{{HTTPStatus("401")}}, {{HTTPStatus("403")}}, {{HTTPStatus("407")}}</li> -</ul> +- [L'authentification HTTP](/fr/docs/Web/HTTP/Authentication) +- {{HTTPHeader("WWW-Authenticate")}} +- {{HTTPHeader("Proxy-Authorization")}} +- {{HTTPHeader("Proxy-Authenticate")}} +- {{HTTPStatus("401")}}, {{HTTPStatus("403")}}, {{HTTPStatus("407")}} diff --git a/files/fr/web/http/headers/cache-control/index.md b/files/fr/web/http/headers/cache-control/index.md index de82079b83..067322921a 100644 --- a/files/fr/web/http/headers/cache-control/index.md +++ b/files/fr/web/http/headers/cache-control/index.md @@ -9,209 +9,173 @@ tags: - Reference translation_of: Web/HTTP/Headers/Cache-Control --- -<p>{{HTTPSidebar}}</p> +{{HTTPSidebar}} -<p>L'en-tête HTTP <strong><code>Cache-Control</code></strong> contient des directives (ou instructions) pour la <a href="/fr/docs/Web/HTTP/Cache">mise en cache</a> tant dans les requêtes que dans les réponses. Une directive donnée dans une requête ne signifie pas que la même directive doit se trouver dans la réponse.</p> +L'en-tête HTTP **`Cache-Control`** contient des directives (ou instructions) pour la [mise en cache](/fr/docs/Web/HTTP/Cache) tant dans les requêtes que dans les réponses. Une directive donnée dans une requête ne signifie pas que la même directive doit se trouver dans la réponse. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("General header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - <tr> - <th scope="row">{{Glossary("CORS-safelisted response header")}}</th> - <td>oui</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("General header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + <tr> + <th scope="row"> + {{Glossary("CORS-safelisted response header")}} + </th> + <td>oui</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Pour être valables, les directives de mise en cache doivent respecter les règles suivante :</p> +Pour être valables, les directives de mise en cache doivent respecter les règles suivante : -<ul> - <li>Il est recommandé de ne pas faire de distinction entre les majuscules et les minuscules..</li> - <li>Les directives multiples sont séparées par des virgules.</li> - <li>Certaines directives ont un argument optionnel, qui peut être soit un <em>jeton</em>, soit une chaîne de caractères entre guillemets. (Voir les spécifications pour les définitions)</li> -</ul> +- Il est recommandé de ne pas faire de distinction entre les majuscules et les minuscules.. +- Les directives multiples sont séparées par des virgules. +- Certaines directives ont un argument optionnel, qui peut être soit un _jeton_, soit une chaîne de caractères entre guillemets. (Voir les spécifications pour les définitions) -<h3 id="Règles_de_cache_des_requêtes">Règles de cache des requêtes</h3> +### Règles de cache des requêtes -<p>Les règles standard <code>Cache-Control</code> suivantes peuvent être utilisées par un client HTTP dans une requête :</p> +Les règles standard `Cache-Control` suivantes peuvent être utilisées par un client HTTP dans une requête : -<pre class="syntaxbox">Cache-Control: max-age=<seconds> -Cache-Control: max-stale[=<seconds>] -Cache-Control: min-fresh=<seconds> -Cache-Control: no-cache -Cache-Control: no-store -Cache-Control: no-transform -Cache-Control: only-if-cached -</pre> + Cache-Control: max-age=<seconds> + Cache-Control: max-stale[=<seconds>] + Cache-Control: min-fresh=<seconds> + Cache-Control: no-cache + Cache-Control: no-store + Cache-Control: no-transform + Cache-Control: only-if-cached + +### Règles de cache des réponses + +Les règles standard `Cache-Control` suivantes peuvent être utilisées par un serveur HTTP dans une réponse : + + Cache-Control: must-revalidate + Cache-Control: no-cache + Cache-Control: no-store + Cache-Control: no-transform + Cache-Control: public + Cache-Control: private + Cache-Control: proxy-revalidate + Cache-Control: max-age=<seconds> + Cache-Control: s-maxage=<seconds> + +### Extensions de `Cache-Control` + +Les directives Extension `Cache-Control` ne font pas partie du document sur les normes de base de la mise en cache HTTP. Vérifiez leur prise en charge dans la [table de compatibilité](#Browser_compatibility) ; les agents-utilisateurs qui ne les reconnaissent pas doivent les ignorer. + + Cache-Control: immutable + Cache-Control: stale-while-revalidate=<seconds> + Cache-Control: stale-if-error=<seconds> + +## Directives + +### Possibilité de mise en cache + +Une réponse est normalement mise en cache par le navigateur si + +- il a un code de statut de [`301`](/fr/docs/Web/HTTP/Status/301), [`302`](/fr/docs/Web/HTTP/Status/302), [`307`](/fr/docs/Web/HTTP/Status/307), [`308`](/fr/docs/Web/HTTP/Status/308), or [`410`](/fr/docs/Web/HTTP/Status/410) **et** +- `Cache-Control` n'a pas de `no-store`, ou _s'il s'agit d'un mandataire_, il n'a pas d'adresse `privée` **et** +- [`Authorization`](/fr/docs/Web/HTTP/Headers/Authorization) n'est pas fixée +- soit + + - a un code de statut de [`301`](/fr/docs/Web/HTTP/Status/301), [`302`](/fr/docs/Web/HTTP/Status/302), [`307`](/fr/docs/Web/HTTP/Status/307), [`308`](/fr/docs/Web/HTTP/Status/308), ou [`410`](/fr/docs/Web/HTTP/Status/410) **ou** + - a un `public`, `max-age` ou `s-maxage` dans `Cache-Control` **ou** + - a [`Expires`](/fr/docs/Web/HTTP/Headers/Expires) fixé + +<!----> + +- `public` + - : Indique que la réponse peut être mise en cache par n'importe quel cache. +- `private` + - : Indique que la réponse ne doit être mise en cache que pour un utilisateur donné et ne doit donc pas être mise en cache par un cache partagé. +- `no-cache` + - : Indique de renvoyer systématiquement la requête au serveur et ne servir une éventuelle version en cache que dans le cas où le serveur le demande. +- `no-store` + - : La réponse **ne** peut être stockée dans _aucune_ mémoire cache. Bien que d'autres directives puissent être définies, C'est la seule directive dont vous avez besoin pour empêcher le réponses en cache sur les navigateurs modernes. `max-age=0` **est déjà implicite**. **La définition de la directive** `must-revalidate` **n'a pas de sens** car pour passer la revalidation, vous devez stocker la réponse dans un cache, ce que n'empêche `no-store`.**Ne pas copier-coller les spécifications Internet-Explorer** `pre-check=0,post-check=0` Si vous le voyez en ligne car il est entièrement ignoré, ce que confirme le [tweet du développeur Edge](https://twitter.com/ericlaw/status/685201170260819968). + +### Expiration + +- `max-age=<secondes>` + - : Indique la durée pendant laquelle la ressource doit être considérée comme valide (non expirée). Contrairement à `expires`, la durée indiquée dans cette directive commence à la date de la requête. +- `s-maxage=<secondes>` + - : Indique une valeur pour écraser les valeurs définies par `max-age` ou `Expires` pour les caches partagés (comme les proxies). Il est donc ignoré par les caches privés (dont les navigateurs). +- `max-stale[=<secondes>]` + - : Indique que le client accepte une réponse expirée. Une valeur optionnelle permet d'indiquer la durée maximale depuis laquelle la réponse peut être expirée mais acceptée quand même. +- `min-fresh=<secondes>` + - : Indique que le client demande une réponse qui soit valide pour au moins la durée demandée (dont la date d'expiration est supérieure à la date actuelle plus la durée spécifiée). +- `stale-while-revalidate=<secondes>` {{experimental_inline}} + - : Indique au cache de renvoyer les données en cache même si elles sont expirée depuis une durée inférieure à la durée spécifiée dans l'en-tête. Dans ce cas, le cache doit renvoyer la requête au serveur pour rafraîchir les données. +- `stale-if-error=<secondes>` {{experimental_inline}} + - : Indique au cache de renvoyer les données en cache s'il y a une erreur pendant la récupération des données auprès du serveur et que la version en cache est expirée depuis une durée inférieure à celle spécifiée dans l'en-tête. -<h3 id="Règles_de_cache_des_réponses">Règles de cache des réponses</h3> +### Revalidation et rechargement -<p>Les règles standard <code>Cache-Control</code> suivantes peuvent être utilisées par un serveur HTTP dans une réponse :</p> +- `must-revalidate` + - : Le cache doit refaire une requête dans le cas où les données sont expirées afin de les mettre à jour s'il y a lieu (il reste parfaitement possible que le serveur réponde avec les mêmes données). +- `proxy-revalidate` + - : Comme pour `must-revalidate`, mais force la valeur pour les caches partagés. Cette valeur est ignorée par les caches locaux. +- `immutable` + - : Indique que les données renvoyées peuvent être servies même si elles sont expirées sans aucune validation et même si le client fait une demande explicite de rafraîchissement. Cette option est a priori uniquement adaptée si les contenus ne sont jamais modifiés mais toujours stockés à une URI différente (par exemple en utilisant un hash du contenu). Les clients qui ne gèrent pas cette directive l'ignorent. Dans le cas de Firefox, cette option est aussi ignorée pour les contenus qui ne sont pas servis en HTTPS. Pour plus d'informations, on pourra se référer à [un blog en anglais](http://bitsup.blogspot.de/2016/05/cache-control-immutable.html). -<pre class="syntaxbox">Cache-Control: must-revalidate -Cache-Control: no-cache +### Autres + +- `no-transform` + - : Aucune conversion ou transformation ne devraient être réalisée sur la ressource. Ainsi, les en-tête `Content-Encoding`, `Content-Range` et `Content-Type` ne devraient jamais être modifiés par un proxy (serveur mandataire). Un proxy non-transparent pourrait, en l'absence de cet en-tête, convertir ou compresser (avec pertes) des images pour réduire la place occupée en cache ou diminuer le volume de données à transférer sur un lien lent. +- `only-if-cached` + - : Réglé par le _client_ pour indiquer "ne pas utiliser le réseau" pour la réponse. Le cache doit soit répondre en utilisant une réponse stockée, soit répondre avec un code d'état [`504`](/fr/docs/Web/HTTP/Status/504). Les en-têtes conditionnels tels que `If-None-Match` ne doivent pas être définis. Il n'y a aucun effet si `only-if-cached` est défini par un serveur dans le cadre d'une réponse. + +## Exemples + +### Prévention de la mise en cache + +Pour désactiver la mise en cache, vous pouvez envoyer l'en-tête de réponse suivant. En outre, voir aussi les en-têtes `Expires` et `Pragma`. + +```plain example-good Cache-Control: no-store -Cache-Control: no-transform -Cache-Control: public -Cache-Control: private -Cache-Control: proxy-revalidate -Cache-Control: max-age=<seconds> -Cache-Control: s-maxage=<seconds> -</pre> - -<h3 id="Extensions_de_Cache-Control">Extensions de <code>Cache-Control</code></h3> - -<p>Les directives Extension <code>Cache-Control</code> ne font pas partie du document sur les normes de base de la mise en cache HTTP. Vérifiez leur prise en charge dans la <a href="#Browser_compatibility">table de compatibilité</a> ; les agents-utilisateurs qui ne les reconnaissent pas doivent les ignorer.</p> - -<pre class="syntaxbox">Cache-Control: immutable -Cache-Control: stale-while-revalidate=<seconds> -Cache-Control: stale-if-error=<seconds> -</pre> - -<h2 id="Directives">Directives</h2> - -<h3 id="Possibilité_de_mise_en_cache">Possibilité de mise en cache</h3> - -<p>Une réponse est normalement mise en cache par le navigateur si</p> - -<ul> - <li>il a un code de statut de <code><a href="/fr/docs/Web/HTTP/Status/301">301</a></code>, <code><a href="/fr/docs/Web/HTTP/Status/302">302</a></code>, <code><a href="/fr/docs/Web/HTTP/Status/307">307</a></code>, <code><a href="/fr/docs/Web/HTTP/Status/308">308</a></code>, or <code><a href="/fr/docs/Web/HTTP/Status/410">410</a></code> <strong>et</strong></li> - <li><code>Cache-Control</code> n'a pas de <code>no-store</code>, ou <em>s'il s'agit d'un mandataire</em>, il n'a pas d'adresse <code>privée</code> <strong>et</strong></li> - <li><code><a href="/fr/docs/Web/HTTP/Headers/Authorization">Authorization</a></code> n'est pas fixée</li> - <li>soit - <ul> - <li>a un code de statut de <code><a href="/fr/docs/Web/HTTP/Status/301">301</a></code>, <code><a href="/fr/docs/Web/HTTP/Status/302">302</a></code>, <code><a href="/fr/docs/Web/HTTP/Status/307">307</a></code>, <code><a href="/fr/docs/Web/HTTP/Status/308">308</a></code>, ou <code><a href="/fr/docs/Web/HTTP/Status/410">410</a></code> <strong>ou</strong></li> - <li>a un <code>public</code>, <code>max-age</code> ou <code>s-maxage</code> dans <code>Cache-Control</code> <strong>ou</strong></li> - <li>a <code><a href="/fr/docs/Web/HTTP/Headers/Expires">Expires</a></code> fixé</li> - </ul> - </li> -</ul> - -<dl> - <dt><code>public</code></dt> - <dd>Indique que la réponse peut être mise en cache par n'importe quel cache.</dd> - <dt><code>private</code></dt> - <dd>Indique que la réponse ne doit être mise en cache que pour un utilisateur donné et ne doit donc pas être mise en cache par un cache partagé.</dd> - <dt><code>no-cache</code></dt> - <dd>Indique de renvoyer systématiquement la requête au serveur et ne servir une éventuelle version en cache que dans le cas où le serveur le demande.</dd> - <dt><code>no-store</code></dt> - <dd><p>La réponse <strong>ne</strong> peut être stockée dans<em> aucune</em> mémoire cache. Bien que d'autres directives puissent être définies, C'est la seule directive dont vous avez besoin pour empêcher le réponses en cache sur les navigateurs modernes. <code>max-age=0</code> <strong>est déjà implicite</strong>. <strong>La définition de la directive</strong> <code>must-revalidate</code> <strong>n'a pas de sens</strong> car pour passer la revalidation, vous devez stocker la réponse dans un cache, ce que n'empêche <code>no-store</code>.<strong>Ne pas copier-coller les spécifications Internet-Explorer</strong> <code>pre-check=0,post-check=0</code> Si vous le voyez en ligne car il est entièrement ignoré, ce que confirme le <a href="https://twitter.com/ericlaw/status/685201170260819968">tweet du développeur Edge</a>.</p></dd> -</dl> - -<h3 id="Expiration">Expiration</h3> - -<dl> - <dt><code>max-age=<secondes></code></dt> - <dd>Indique la durée pendant laquelle la ressource doit être considérée comme valide (non expirée). Contrairement à <code>expires</code>, la durée indiquée dans cette directive commence à la date de la requête.</dd> - <dt><code>s-maxage=<secondes></code></dt> - <dd>Indique une valeur pour écraser les valeurs définies par <code>max-age</code> ou <code>Expires</code> pour les caches partagés (comme les proxies). Il est donc ignoré par les caches privés (dont les navigateurs).</dd> - <dt><code>max-stale[=<secondes>]</code></dt> - <dd>Indique que le client accepte une réponse expirée. Une valeur optionnelle permet d'indiquer la durée maximale depuis laquelle la réponse peut être expirée mais acceptée quand même.</dd> - <dt><code>min-fresh=<secondes></code></dt> - <dd>Indique que le client demande une réponse qui soit valide pour au moins la durée demandée (dont la date d'expiration est supérieure à la date actuelle plus la durée spécifiée).</dd> - <dt><code>stale-while-revalidate=<secondes></code> {{experimental_inline}}</dt> - <dd>Indique au cache de renvoyer les données en cache même si elles sont expirée depuis une durée inférieure à la durée spécifiée dans l'en-tête. Dans ce cas, le cache doit renvoyer la requête au serveur pour rafraîchir les données.</dd> - <dt><code>stale-if-error=<secondes></code> {{experimental_inline}}</dt> - <dd>Indique au cache de renvoyer les données en cache s'il y a une erreur pendant la récupération des données auprès du serveur et que la version en cache est expirée depuis une durée inférieure à celle spécifiée dans l'en-tête.</dd> -</dl> - -<h3 id="Revalidation_et_rechargement">Revalidation et rechargement</h3> - -<dl> - <dt><code>must-revalidate</code></dt> - <dd>Le cache doit refaire une requête dans le cas où les données sont expirées afin de les mettre à jour s'il y a lieu (il reste parfaitement possible que le serveur réponde avec les mêmes données).</dd> - <dt><code>proxy-revalidate</code></dt> - <dd>Comme pour <code>must-revalidate</code>, mais force la valeur pour les caches partagés. Cette valeur est ignorée par les caches locaux.</dd> - <dt><code>immutable</code></dt> - <dd>Indique que les données renvoyées peuvent être servies même si elles sont expirées sans aucune validation et même si le client fait une demande explicite de rafraîchissement. Cette option est a priori uniquement adaptée si les contenus ne sont jamais modifiés mais toujours stockés à une URI différente (par exemple en utilisant un hash du contenu). Les clients qui ne gèrent pas cette directive l'ignorent. Dans le cas de Firefox, cette option est aussi ignorée pour les contenus qui ne sont pas servis en HTTPS. Pour plus d'informations, on pourra se référer à <a href="http://bitsup.blogspot.de/2016/05/cache-control-immutable.html">un blog en anglais</a>.</dd> -</dl> - -<h3 id="Autres">Autres</h3> - -<dl> - <dt><code>no-transform</code></dt> - <dd>Aucune conversion ou transformation ne devraient être réalisée sur la ressource. Ainsi, les en-tête <code>Content-Encoding</code>, <code>Content-Range</code> et <code>Content-Type</code> ne devraient jamais être modifiés par un proxy (serveur mandataire). Un proxy non-transparent pourrait, en l'absence de cet en-tête, convertir ou compresser (avec pertes) des images pour réduire la place occupée en cache ou diminuer le volume de données à transférer sur un lien lent.</dd> - <dt><code>only-if-cached</code></dt> - <dd>Réglé par le <em>client </em>pour indiquer "ne pas utiliser le réseau" pour la réponse. Le cache doit soit répondre en utilisant une réponse stockée, soit répondre avec un code d'état <code><a href="/fr/docs/Web/HTTP/Status/504">504</a></code>. Les en-têtes conditionnels tels que <code>If-None-Match</code> ne doivent pas être définis. Il n'y a aucun effet si <code>only-if-cached</code> est défini par un serveur dans le cadre d'une réponse.</dd> -</dl> - -<h2 id="Exemples">Exemples</h2> - -<h3 id="Prévention_de_la_mise_en_cache">Prévention de la mise en cache</h3> - -<p>Pour désactiver la mise en cache, vous pouvez envoyer l'en-tête de réponse suivant. En outre, voir aussi les en-têtes <code>Expires</code> et <code>Pragma</code>.</p> - -<pre class="example-good">Cache-Control: no-store -</pre> - -<pre class="example-bad">Cache-Control: private,no-cache,no-store,max-age=0,must-revalidate,pre-check=0,post-check=0 -</pre> - -<h3 id="Mise_en_cache_dactifs_statiques">Mise en cache d'actifs statiques</h3> - -<p>Pour les fichiers de l'application qui ne seront pas modifiés, vous pouvez généralement ajouter une mise en cache agressive en envoyant l'en-tête de réponse ci-dessous. Cela inclut les fichiers statiques qui sont servis par l'application comme les images, les fichiers CSS et les fichiers JavaScript, par exemple. En outre, voir l'en-tête <code>Expires</code>.</p> - -<pre>Cache-Control: public, max-age=604800, immutable -</pre> - -<h3 id="Nécessitant_une_revalidation">Nécessitant une revalidation</h3> - -<p>Le fait de spécifier no-cache ou <code>max-age=0</code> indique que les clients peuvent mettre une ressource en cache et doivent la revalider à chaque fois avant de l'utiliser. Cela signifie que la requête HTTP se produit à chaque fois, mais qu'elle peut sauter le téléchargement du corps HTTP si le contenu est valide.</p> - -<pre>Cache-Control: no-cache -Cache-Control: no-cache, max-age=0 -Cache-Control: no-cache, max-age=0, stale-while-revalidate=300 -</pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Specification</th> - <th scope="col">Status</th> - <th scope="col">Comment</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{RFC(8246, "HTTP Immutable Responses")}}</td> - <td>IETF RFC</td> - <td></td> - </tr> - <tr> - <td>{{RFC(7234, "Hypertext Transfer Protocol (HTTP/1.1): Caching")}}</td> - <td>IETF RFC</td> - <td></td> - </tr> - <tr> - <td>{{RFC(5861, "HTTP Cache-Control Extensions for Stale Content")}}</td> - <td>IETF RFC</td> - <td>Initial definition</td> - </tr> - </tbody> -</table> +``` + +```plain example-bad +Cache-Control: private,no-cache,no-store,max-age=0,must-revalidate,pre-check=0,post-check=0 +``` + +### Mise en cache d'actifs statiques + +Pour les fichiers de l'application qui ne seront pas modifiés, vous pouvez généralement ajouter une mise en cache agressive en envoyant l'en-tête de réponse ci-dessous. Cela inclut les fichiers statiques qui sont servis par l'application comme les images, les fichiers CSS et les fichiers JavaScript, par exemple. En outre, voir l'en-tête `Expires`. + + Cache-Control: public, max-age=604800, immutable + +### Nécessitant une revalidation + +Le fait de spécifier no-cache ou `max-age=0` indique que les clients peuvent mettre une ressource en cache et doivent la revalider à chaque fois avant de l'utiliser. Cela signifie que la requête HTTP se produit à chaque fois, mais qu'elle peut sauter le téléchargement du corps HTTP si le contenu est valide. + + Cache-Control: no-cache + Cache-Control: no-cache, max-age=0 + Cache-Control: no-cache, max-age=0, stale-while-revalidate=300 + +## Spécifications + +| Specification | Status | Comment | +| ------------------------------------------------------------------------------------ | -------- | ------------------ | +| {{RFC(8246, "HTTP Immutable Responses")}} | IETF RFC | | +| {{RFC(7234, "Hypertext Transfer Protocol (HTTP/1.1): Caching")}} | IETF RFC | | +| {{RFC(5861, "HTTP Cache-Control Extensions for Stale Content")}} | IETF RFC | Initial definition | -<h2 id="Compatibilité_avec_les_navigateurs">Compatibilité avec les navigateurs</h2> +## Compatibilité avec les navigateurs -<p>{{Compat("http.headers.Cache-Control")}}</p> +{{Compat("http.headers.Cache-Control")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li><a href="/fr/docs/Web/HTTP/Caching_FAQ">HTTP Caching FAQ</a></li> - <li><a href="https://www.mnot.net/cache_docs/">Caching Tutorial for Web Authors and Webmasters</a></li> - <li>Guide: <em><a href="https://csswizardry.com/2019/03/cache-control-for-civilians"><code>Cache-Control</code> for civilians</a></em></li> - <li>{{HTTPHeader("Age")}}</li> - <li>{{HTTPHeader("Expires")}}</li> - <li>{{HTTPHeader("Pragma")}}</li> -</ul> +- [HTTP Caching FAQ](/fr/docs/Web/HTTP/Caching_FAQ) +- [Caching Tutorial for Web Authors and Webmasters](https://www.mnot.net/cache_docs/) +- Guide: _[`Cache-Control` for civilians](https://csswizardry.com/2019/03/cache-control-for-civilians)_ +- {{HTTPHeader("Age")}} +- {{HTTPHeader("Expires")}} +- {{HTTPHeader("Pragma")}} diff --git a/files/fr/web/http/headers/connection/index.md b/files/fr/web/http/headers/connection/index.md index 3ea2071137..399f43f1ce 100644 --- a/files/fr/web/http/headers/connection/index.md +++ b/files/fr/web/http/headers/connection/index.md @@ -8,44 +8,43 @@ tags: - en-tête translation_of: Web/HTTP/Headers/Connection --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête général <strong><code>Connection</code></strong> contrôle la façon dont la connexion reste ouverte ou non après que la transaction courante soit terminée. Si la valeur envoyée est <code>keep-alive</code>, la connexion est persistente et n'est pas fermée, permettant aux requêtes qui suivent et s'adressent au même serveur d'être envoyées.</p> +L'en-tête général **`Connection`** contrôle la façon dont la connexion reste ouverte ou non après que la transaction courante soit terminée. Si la valeur envoyée est `keep-alive`, la connexion est persistente et n'est pas fermée, permettant aux requêtes qui suivent et s'adressent au même serveur d'être envoyées. -<div class="note"> - <p><strong>Note :</strong><a href="https://tools.ietf.org/html/rfc7540#section-8.1.2.2">Les champs d'en-tête spécifiques à la connexion (tels que <code>Connection</code>) ne doivent pas être utilisés avec HTTP/2.</a></p> -</div> +> **Note :**[Les champs d'en-tête spécifiques à la connexion (tels que `Connection`) ne doivent pas être utilisés avec HTTP/2.](https://tools.ietf.org/html/rfc7540#section-8.1.2.2) -<p>Except for the standard hop-by-hop headers ({{HTTPHeader("Keep-Alive")}}, {{HTTPHeader("Transfer-Encoding")}}, {{HTTPHeader("TE")}}, {{HTTPHeader("Connection")}}, {{HTTPHeader("Trailer")}}, {{HTTPHeader("Upgrade")}}, {{HTTPHeader("Proxy-Authorization")}} and {{HTTPHeader("Proxy-Authenticate")}}), any hop-by-hop headers used by the message must be listed in the <code>Connection</code> header, so that the first proxy knows it has to consume them and not forward them further. Standard hop-by-hop headers can be listed too (it is often the case of {{HTTPHeader("Keep-Alive")}}, but this is not mandatory).</p> +Except for the standard hop-by-hop headers ({{HTTPHeader("Keep-Alive")}}, {{HTTPHeader("Transfer-Encoding")}}, {{HTTPHeader("TE")}}, {{HTTPHeader("Connection")}}, {{HTTPHeader("Trailer")}}, {{HTTPHeader("Upgrade")}}, {{HTTPHeader("Proxy-Authorization")}} and {{HTTPHeader("Proxy-Authenticate")}}), any hop-by-hop headers used by the message must be listed in the `Connection` header, so that the first proxy knows it has to consume them and not forward them further. Standard hop-by-hop headers can be listed too (it is often the case of {{HTTPHeader("Keep-Alive")}}, but this is not mandatory). <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td><a href="/fr/docs/Glossaire/General_header">En-tête général</a></td> - </tr> - <tr> - <th scope="row"><a href="/fr/docs/Glossaire/Forbidden_header_name">Nom d'en-tête interdit</a></th> - <td>Oui</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td><a href="/fr/docs/Glossaire/General_header">En-tête général</a></td> + </tr> + <tr> + <th scope="row"> + <a href="/fr/docs/Glossaire/Forbidden_header_name" + >Nom d'en-tête interdit</a + > + </th> + <td>Oui</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Connection: keep-alive -Connection: close -</pre> + Connection: keep-alive + Connection: close -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><code>close</code></dt> - <dd>Indique que le client ou que le serveur souhaite fermer la connexion. C'est la valeur par défaut pour les requêtes en HTTP/1.0.</dd> - <dt>Une liste d'en-têtes HTTP séparés par des virgules (généralement, la valeur <code>keep-alive</code> seule)</dt> - <dd>Indique que le client souhaite que la connexion reste ouverte. Une connexion persistente est le comportement par défaut pour les requêtes HTTP/1.1. La liste des en-têtes sont le nom des en-têtes à retirer par le premier proxy ou cache non-transparent entre le client et le serveur : ces en-tête définissent la connexion entre l'émetteur et la première entité (pas jusqu'au nœud de destination).</dd> -</dl> +- `close` + - : Indique que le client ou que le serveur souhaite fermer la connexion. C'est la valeur par défaut pour les requêtes en HTTP/1.0. +- Une liste d'en-têtes HTTP séparés par des virgules (généralement, la valeur `keep-alive` seule) + - : Indique que le client souhaite que la connexion reste ouverte. Une connexion persistente est le comportement par défaut pour les requêtes HTTP/1.1. La liste des en-têtes sont le nom des en-têtes à retirer par le premier proxy ou cache non-transparent entre le client et le serveur : ces en-tête définissent la connexion entre l'émetteur et la première entité (pas jusqu'au nœud de destination). -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Connection")}}</p> +{{Compat("http.headers.Connection")}} diff --git a/files/fr/web/http/headers/content-disposition/index.md b/files/fr/web/http/headers/content-disposition/index.md index 1dffadd807..2844fbef41 100644 --- a/files/fr/web/http/headers/content-disposition/index.md +++ b/files/fr/web/http/headers/content-disposition/index.md @@ -7,139 +7,123 @@ tags: - header translation_of: Web/HTTP/Headers/Content-Disposition --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>Dans une réponse HTTP régulière, l'en-tête de réponse <code>Content-Disposition</code> est un en-tête indiquant si le contenu devrait être affiché en ligne dans le navigateur, c'est-à-dire en tant que page Web, dans une page Web ou en pièce jointe qui sera téléchargé et enregistré localement.</p> +Dans une réponse HTTP régulière, l'en-tête de réponse `Content-Disposition` est un en-tête indiquant si le contenu devrait être affiché en ligne dans le navigateur, c'est-à-dire en tant que page Web, dans une page Web ou en pièce jointe qui sera téléchargé et enregistré localement. -<p>Dans un corps <code>multipart / form-data</code>, l'en-tête général HTTP Content-Disposition est un en-tête qui peut être utilisé sur la sous-partie d'un corps multipart pour donner des informations sur le champ auquel il s'applique. La sous-partie est délimitée par la limite <code>boundary</code> définie dans l'en-tête {{HTTPHeader ("Content-Type")}}. Utilisé sur le corps même, <code>Content-Disposition </code>n'a aucun effet.</p> +Dans un corps `multipart / form-data`, l'en-tête général HTTP Content-Disposition est un en-tête qui peut être utilisé sur la sous-partie d'un corps multipart pour donner des informations sur le champ auquel il s'applique. La sous-partie est délimitée par la limite `boundary` définie dans l'en-tête {{HTTPHeader ("Content-Type")}}. Utilisé sur le corps même, `Content-Disposition `n'a aucun effet. -<p>L'en-tête <code>Content-Disposition</code> est défini dans le contexte plus large des messages MIME pour le courrier électronique, mais seul un sous-ensemble des paramètres possibles s'applique aux formulaires HTTP et {{HTTPMethod ("POST")}}. Seules les données de forme de valeur, ainsi que le nom de la directive optionnelle et le nom de fichier, peuvent être utilisés dans le contexte HTTP.</p> +L'en-tête `Content-Disposition` est défini dans le contexte plus large des messages MIME pour le courrier électronique, mais seul un sous-ensemble des paramètres possibles s'applique aux formulaires HTTP et {{HTTPMethod ("POST")}}. Seules les données de forme de valeur, ainsi que le nom de la directive optionnelle et le nom de fichier, peuvent être utilisés dans le contexte HTTP. <table class="properties"> - <tbody> - <tr> - <th scope="row"> - <table> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("Response header")}} (pour le corps principal)<br> - {{Glossary("General header")}} (pour une sous-partie d'un corps à plusieurs parties)</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <th scope="row">Non</th> - </tr> - </tbody> - </table> - </th> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row"> + <table> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td> + {{Glossary("Response header")}} (pour le corps + principal)<br />{{Glossary("General header")}} (pour + une sous-partie d'un corps à plusieurs parties) + </td> + </tr> + <tr> + <th scope="row"> + {{Glossary("Forbidden header name")}} + </th> + <th scope="row">Non</th> + </tr> + </tbody> + </table> + </th> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<h3 id="En_tant_quentête_de_réponse_pour_le_corps_principal">En tant qu'entête de réponse pour le corps principal </h3> +### En tant qu'entête de réponse pour le corps principal -<p>Le premier paramètre dans le contexte HTTP est en ligne (valeur par défaut, indiquant qu'il peut être affiché à l'intérieur de la page Web ou en tant que page Web) ou pièce jointe (en indiquant qu'il devrait être téléchargé), la plupart des navigateurs présentant une boîte de dialogue "Enregistrer sous" Avec la valeur des paramètres du nom de<br> - fichier si présent.</p> +Le premier paramètre dans le contexte HTTP est en ligne (valeur par défaut, indiquant qu'il peut être affiché à l'intérieur de la page Web ou en tant que page Web) ou pièce jointe (en indiquant qu'il devrait être téléchargé), la plupart des navigateurs présentant une boîte de dialogue "Enregistrer sous" Avec la valeur des paramètres du nom de +fichier si présent. -<pre class="syntaxbox">Content-Disposition: inline -Content-Disposition: attachment -Content-Disposition: attachment; filename="filename.jpg"</pre> + Content-Disposition: inline + Content-Disposition: attachment + Content-Disposition: attachment; filename="filename.jpg" -<h3 id="En_tant_quen-tête_pour_un_corps_à_plusieurs_parties">En tant qu'en-tête pour un corps à plusieurs parties </h3> +### En tant qu'en-tête pour un corps à plusieurs parties -<p>Le premier paramètre dans le contexte HTTP est toujours une donnée de forme. Les paramètres supplémentaires sont insensibles à la casse et ont des arguments, qui utilisent la syntaxe de chaîne cité après le signe '='. Les paramètres multiples sont<br> - séparés par un point-virgule (';').</p> +Le premier paramètre dans le contexte HTTP est toujours une donnée de forme. Les paramètres supplémentaires sont insensibles à la casse et ont des arguments, qui utilisent la syntaxe de chaîne cité après le signe '='. Les paramètres multiples sont +séparés par un point-virgule (';'). -<pre>Content-Disposition: form-data Content-Disposition: form-data; -name="fieldName" Content-Disposition: form-data; -name="fieldName"; filename="filename.jpg"</pre> + Content-Disposition: form-data Content-Disposition: form-data; + name="fieldName" Content-Disposition: form-data; + name="fieldName"; filename="filename.jpg" -<h2 id="Directives">Directives</h2> +## Directives -<p><code><name></code><br> - Est suivie d'une chaîne contenant le nom du champ HTML dans la forme dont le contenu de cette sous-partie se réfère. Lorsqu'il s'agit de plusieurs fichiers dans le même champ (par exemple, l'attribut {{htmlattrxref("multiple", "input")}} d'un {{HTMLElement("input","<input type=file>")}} element), il peut y avoir plusieurs sous-parties portant le même nom.</p> +`<name>` +Est suivie d'une chaîne contenant le nom du champ HTML dans la forme dont le contenu de cette sous-partie se réfère. Lorsqu'il s'agit de plusieurs fichiers dans le même champ (par exemple, l'attribut {{htmlattrxref("multiple", "input")}} d'un {{HTMLElement("input","<input type=file>")}} element), il peut y avoir plusieurs sous-parties portant le même nom. -<p>Un <code>name</code> avec une valeur de <code>'_charset_'</code> indique que la partie n'est pas un champ HTML, mais le jeu de caractères par défaut à utiliser pour les pièces sans informations de charset explicites.</p> +Un `name` avec une valeur de `'_charset_'` indique que la partie n'est pas un champ HTML, mais le jeu de caractères par défaut à utiliser pour les pièces sans informations de charset explicites. -<p><code><filename></code><br> - Est suivi d'une chaîne contenant le nom d'origine du fichier transmis. Le nom de fichier est toujours facultatif et ne doit pas être utilisé aveuglément par l'application: l'information du chemin doit être rayée et la conversion aux règles du système de fichiers du serveur doit être effectuée. Ce paramètre fournit principalement des informations indicatives. Lorsqu'il est utilisé en combinaison avec <code>Content-Disposition: attachement</code>, il est utilisé comme nom de fichier par défaut pour une éventuelle boîte de dialogue "Enregistrer sous" présentée à l'utilisateur.</p> +`<filename>` +Est suivi d'une chaîne contenant le nom d'origine du fichier transmis. Le nom de fichier est toujours facultatif et ne doit pas être utilisé aveuglément par l'application: l'information du chemin doit être rayée et la conversion aux règles du système de fichiers du serveur doit être effectuée. Ce paramètre fournit principalement des informations indicatives. Lorsqu'il est utilisé en combinaison avec `Content-Disposition: attachement`, il est utilisé comme nom de fichier par défaut pour une éventuelle boîte de dialogue "Enregistrer sous" présentée à l'utilisateur. -<p><code><filename*></code><br> - Les paramètres <code>filename</code> et <code>filename*</code> diffèrent uniquement en ce que <code>filename*</code> utilise l'encodage défini dans la RFC 5987. Lorsque <code>filename</code> et <code>filename*</code> sont présents dans une seule valeur de champ d'en-tête, <code>filename*</code> est préféré à <code>filename</code> lorsque les deux sont présents et compris.</p> +`<filename*>` +Les paramètres `filename` et `filename*` diffèrent uniquement en ce que `filename*` utilise l'encodage défini dans la RFC 5987. Lorsque `filename` et `filename*` sont présents dans une seule valeur de champ d'en-tête, `filename*` est préféré à `filename` lorsque les deux sont présents et compris. -<h2 id="Exemples">Exemples</h2> +## Exemples -<p>Une réponse déclanchant le dialogue "Enregistrer sous":</p> +Une réponse déclanchant le dialogue "Enregistrer sous": -<pre class="brush: html">200 OK +```html +200 OK Content-Type: text/html; charset=utf-8 Content-Disposition: attachment; filename="cool.html" Content-Length: 22 -<HTML>Enregistrez-moi !</HTML> -</pre> - -<p>Ce fichier HTML simple sera sauvegardé en tant que téléchargement régulier plutôt que dans le navigateur. La plupart des navigateurs proposeront de l'enregistrer sous le nom de fichier <code>cool.html</code> (par défaut).</p> - -<p>Un exemple de formulaire HTML, publié à l'aide du format <code>multipart / form-data</code> qui utilise l'en-tête <code>Content-Disposition</code>:</p> - -<pre>POST /test.html HTTP/1.1 -Host: example.org -Content-Type: multipart/form-data;boundary="boundary" - ---boundary -Content-Disposition: form-data; name="field1" - -value1 ---boundary -Content-Disposition: form-data; name="field2"; filename="example.txt" - -value2 ---boundary--</pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7578")}}</td> - <td><br> - Retour des valeurs à partir des formulaires: multipart / form-data</td> - </tr> - <tr> - <td>{{RFC("6266")}}</td> - <td><br> - Utilisation du champ Header Content-Disposition dans le protocole de transfert hypertexte (HTTP)</td> - </tr> - <tr> - <td>{{RFC("2183")}}</td> - <td><br> - Communiquer des informations de présentation dans les messages Internet: le champ de l'en-tête de disposition de contenu</td> - </tr> - </tbody> -</table> +<HTML>Enregistrez-moi !</HTML> +``` + +Ce fichier HTML simple sera sauvegardé en tant que téléchargement régulier plutôt que dans le navigateur. La plupart des navigateurs proposeront de l'enregistrer sous le nom de fichier `cool.html` (par défaut). + +Un exemple de formulaire HTML, publié à l'aide du format `multipart / form-data` qui utilise l'en-tête `Content-Disposition`: + + POST /test.html HTTP/1.1 + Host: example.org + Content-Type: multipart/form-data;boundary="boundary" + + --boundary + Content-Disposition: form-data; name="field1" + + value1 + --boundary + Content-Disposition: form-data; name="field2"; filename="example.txt" + + value2 + --boundary-- + +## Spécifications + +| Spécification | Titre | +| -------------------- | ------------------------------------------------------------------------------------------------------------------------ | +| {{RFC("7578")}} | Retour des valeurs à partir des formulaires: multipart / form-data | +| {{RFC("6266")}} | Utilisation du champ Header Content-Disposition dans le protocole de transfert hypertexte (HTTP) | +| {{RFC("2183")}} | Communiquer des informations de présentation dans les messages Internet: le champ de l'en-tête de disposition de contenu | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http/headers/content-disposition")}}</p> +{{Compat("http/headers/content-disposition")}} -<h2 id="Notes_de_compatibilité">Notes de compatibilité</h2> +## Notes de compatibilité -<ul> - <li>Firefox 5 gère l'en-tête de réponse HTTP <code>Content-Disposition</code> plus efficacement si les deux paramètres du nom de fichier et du nom de fichier sont fournis. Il examine tous les noms fournis, en utilisant le paramètre * du nom de fichier, s'il est disponible, même si un paramètre de nom de fichier est inclus en premier. Auparavant, le premier paramètre correspondant serait utilisé, empêchant ainsi un nom plus approprié d'être utilisé. Voir {{bug (588781)}}.</li> -</ul> +- Firefox 5 gère l'en-tête de réponse HTTP `Content-Disposition` plus efficacement si les deux paramètres du nom de fichier et du nom de fichier sont fournis. Il examine tous les noms fournis, en utilisant le paramètre \* du nom de fichier, s'il est disponible, même si un paramètre de nom de fichier est inclus en premier. Auparavant, le premier paramètre correspondant serait utilisé, empêchant ainsi un nom plus approprié d'être utilisé. Voir {{bug (588781)}}. -<h2 id="Voir_également">Voir également</h2> +## Voir également -<ul> - <li><a href="/en-US/docs/Web/Guide/HTML/Forms">HTML Forms</a></li> - <li>{{HTTPHeader("Content-Type")}} définissant la limite du corps multipartie.</li> - <li>L'interface {{domxref("FormData")}} utilisée pour manipuler les données de formulaire à utiliser dans l'API {{domxref("XMLHttpRequest")}}.</li> -</ul> +- [HTML Forms](/en-US/docs/Web/Guide/HTML/Forms) +- {{HTTPHeader("Content-Type")}} définissant la limite du corps multipartie. +- L'interface {{domxref("FormData")}} utilisée pour manipuler les données de formulaire à utiliser dans l'API {{domxref("XMLHttpRequest")}}. diff --git a/files/fr/web/http/headers/content-encoding/index.md b/files/fr/web/http/headers/content-encoding/index.md index 3d52ddfac5..50592fde0f 100644 --- a/files/fr/web/http/headers/content-encoding/index.md +++ b/files/fr/web/http/headers/content-encoding/index.md @@ -7,99 +7,81 @@ tags: - Reference translation_of: Web/HTTP/Headers/Content-Encoding --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête <strong><code>Content-Encoding</code></strong> indique la compression utilisée sur le média contenu dans le corps de la requête. Il permet au client de savoir comment décoder le contenu afin d'obtenir le type de média référencé par l'entête <code>Content-Type</code>.</p> +L'en-tête **`Content-Encoding`** indique la compression utilisée sur le média contenu dans le corps de la requête. Il permet au client de savoir comment décoder le contenu afin d'obtenir le type de média référencé par l'entête `Content-Type`. -<p>Il est recommandé de compresser les données autant que possible et donc d'utiliser cet en-tête. Toutefois, certains types de fichiers, comme les images jpeg, sont déjà compressés. Parfois, l'utilisation d'une compression supplémentaire ne réduit pas la taille de la chage utile et peut même la rendre plus longue.</p> +Il est recommandé de compresser les données autant que possible et donc d'utiliser cet en-tête. Toutefois, certains types de fichiers, comme les images jpeg, sont déjà compressés. Parfois, l'utilisation d'une compression supplémentaire ne réduit pas la taille de la chage utile et peut même la rendre plus longue. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td><a href="/fr/docs/Glossaire/En-tête_entité">En-tête d'entité</a></td> - </tr> - <tr> - <th scope="row"><a href="/fr/docs/Glossaire/Forbidden_header_name">Nom d'en-tête interdit</a></th> - <td>Non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td><a href="/fr/docs/Glossaire/En-tête_entité">En-tête d'entité</a></td> + </tr> + <tr> + <th scope="row"> + <a href="/fr/docs/Glossaire/Forbidden_header_name" + >Nom d'en-tête interdit</a + > + </th> + <td>Non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> - -<pre class="syntaxbox">Content-Encoding: gzip -Content-Encoding: compress -Content-Encoding: deflate -Content-Encoding: identity -Content-Encoding: br - -// Plusieurs valeurs selon l'ordre dans lequel ils ont été appliqués -Content-Encoding: gzip, identity -Content-Encoding: deflate, gzip -</pre> - -<h2 id="Directives">Directives</h2> - -<dl> - <dt><code>gzip</code></dt> - <dd>Un format utilisant le <a href="http://en.wikipedia.org/wiki/LZ77_and_LZ78#LZ77">codage Lempel-Ziv</a> (LZ77), avec un CRC de 32 bits. Il s'agit du format original pour le programme UNIX <em>gzip</em>. La norme HTTP/1.1 recommande également que les serveurs prenant en charge cet encodage reconnaissent <code>x-gzip</code> comme alias, à des fins de compatibilité.</dd> - <dt><code>compress</code></dt> - <dd>Un format utilisant l'algorithme <a class="external" href="http://en.wikipedia.org/wiki/LZW">Lempel-Ziv-Welch</a> (LZW). Le nom de la valeur a été tiré du programme de compression UNIX, qui a mis en œuvre cet algorithme. Comme le programme de compression, qui a disparu de la plupart des distributions UNIX, ce codage de contenu n'est pas utilisé par de nombreux navigateurs aujourd'hui, en partie à cause d'un problème de brevet (il a expiré en 2003).</dd> - <dt><code>deflate</code></dt> - <dd>Utilisant la structure <a href="http://en.wikipedia.org/wiki/Zlib">zlib</a> (définie dans la <a class="external" href="http://tools.ietf.org/html/rfc1950">RFC 1950</a>) avec l'algorithme de compression <em><a class="external" href="http://en.wikipedia.org/wiki/DEFLATE">deflate</a> </em>(défini dans la <a class="external" href="http://tools.ietf.org/html/rfc1951">RFC 1951</a>).</dd> - <dt><code>identity</code></dt> - <dd>Indicates the identity function (c'est-à-dire qu'il n'y a eu aucune compression ou modification). Sauf mention contraire, cette valeur est toujours considérée comme acceptable.</dd> - <dt><code>br</code></dt> - <dd>Un format utilisant l'algorithme de <a href="https://en.wikipedia.org/wiki/Brotli">Brotli</a>.</dd> -</dl> - -<h2 id="Exemples">Exemples</h2> - -<h3 id="Compression_avec_gzip">Compression avec gzip</h3> - -<p>Côté client, on peut fournir la liste des mécanismes de compression pris en charge en envoyant l'en-tête {{HTTPHeader("Accept-Encoding")}} lors de la négociation de l'encodage.</p> - -<pre>Accept-Encoding: gzip, deflate</pre> - -<p>Le serveur répondra avec le schéma utilisé avec l'en-tête de réponse <code>Content-Encoding</code>.</p> - -<pre>Content-Encoding: gzip</pre> - -<p>À noter que le serveur n'est pas obligé d'utiliser de méthode de compression. La compression dépend fortement des paramètres du serveur et des modules de serveur utilisés.</p> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{RFC("7932", "Brotli Compressed Data Format")}}</td> - <td>Brotli Compressed Data Format</td> - </tr> - <tr> - <td>{{RFC("7231", "Content-Encoding", "3.1.2.2")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content</td> - </tr> - <tr> - <td>{{RFC("2616", "Content-Encoding", "14.11")}}</td> - <td>Content-Encoding</td> - </tr> - </tbody> -</table> +## Syntaxe + + Content-Encoding: gzip + Content-Encoding: compress + Content-Encoding: deflate + Content-Encoding: identity + Content-Encoding: br + + // Plusieurs valeurs selon l'ordre dans lequel ils ont été appliqués + Content-Encoding: gzip, identity + Content-Encoding: deflate, gzip + +## Directives + +- `gzip` + - : Un format utilisant le [codage Lempel-Ziv](http://en.wikipedia.org/wiki/LZ77_and_LZ78#LZ77) (LZ77), avec un CRC de 32 bits. Il s'agit du format original pour le programme UNIX _gzip_. La norme HTTP/1.1 recommande également que les serveurs prenant en charge cet encodage reconnaissent `x-gzip` comme alias, à des fins de compatibilité. +- `compress` + - : Un format utilisant l'algorithme [Lempel-Ziv-Welch](http://en.wikipedia.org/wiki/LZW) (LZW). Le nom de la valeur a été tiré du programme de compression UNIX, qui a mis en œuvre cet algorithme. Comme le programme de compression, qui a disparu de la plupart des distributions UNIX, ce codage de contenu n'est pas utilisé par de nombreux navigateurs aujourd'hui, en partie à cause d'un problème de brevet (il a expiré en 2003). +- `deflate` + - : Utilisant la structure [zlib](http://en.wikipedia.org/wiki/Zlib) (définie dans la [RFC 1950](http://tools.ietf.org/html/rfc1950)) avec l'algorithme de compression _[deflate](http://en.wikipedia.org/wiki/DEFLATE) _(défini dans la [RFC 1951](http://tools.ietf.org/html/rfc1951)). +- `identity` + - : Indicates the identity function (c'est-à-dire qu'il n'y a eu aucune compression ou modification). Sauf mention contraire, cette valeur est toujours considérée comme acceptable. +- `br` + - : Un format utilisant l'algorithme de [Brotli](https://en.wikipedia.org/wiki/Brotli). + +## Exemples + +### Compression avec gzip + +Côté client, on peut fournir la liste des mécanismes de compression pris en charge en envoyant l'en-tête {{HTTPHeader("Accept-Encoding")}} lors de la négociation de l'encodage. + + Accept-Encoding: gzip, deflate + +Le serveur répondra avec le schéma utilisé avec l'en-tête de réponse `Content-Encoding`. + + Content-Encoding: gzip + +À noter que le serveur n'est pas obligé d'utiliser de méthode de compression. La compression dépend fortement des paramètres du serveur et des modules de serveur utilisés. + +## Spécifications + +| Spécification | Titre | +| ---------------------------------------------------------------- | ------------------------------------------------------------- | +| {{RFC("7932", "Brotli Compressed Data Format")}} | Brotli Compressed Data Format | +| {{RFC("7231", "Content-Encoding", "3.1.2.2")}} | Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content | +| {{RFC("2616", "Content-Encoding", "14.11")}} | Content-Encoding | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Content-Encoding")}}</p> +{{Compat("http.headers.Content-Encoding")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Accept-Encoding")}}</li> - <li>{{HTTPHeader("Transfer-Encoding")}}</li> -</ul> +- {{HTTPHeader("Accept-Encoding")}} +- {{HTTPHeader("Transfer-Encoding")}} diff --git a/files/fr/web/http/headers/content-language/index.md b/files/fr/web/http/headers/content-language/index.md index 002c307908..3430f8620e 100644 --- a/files/fr/web/http/headers/content-language/index.md +++ b/files/fr/web/http/headers/content-language/index.md @@ -9,99 +9,92 @@ tags: - Reference translation_of: Web/HTTP/Headers/Content-Language --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête <strong><code>Content-Language</code></strong> est utilisé pour décrire quels langages sont destinés au public, de sorte que cela permette à l'utilisateur de se différencier en fonction de la langue préférée des utilisateurs.</p> +L'en-tête **`Content-Language`** est utilisé pour décrire quels langages sont destinés au public, de sorte que cela permette à l'utilisateur de se différencier en fonction de la langue préférée des utilisateurs. -<p>Par exemple, si "<code>Content-Language: de-DE</code>" est mis en place, cela signifie que la page est destinée à un public parlant l'allemand (par contre, cela n'indique pas que la page est écrite en allemand. Par exemple, elle pourrait être écrite en anglais dans le cadre d'un cours de langue destiné aux allemands).</p> +Par exemple, si "`Content-Language: de-DE`" est mis en place, cela signifie que la page est destinée à un public parlant l'allemand (par contre, cela n'indique pas que la page est écrite en allemand. Par exemple, elle pourrait être écrite en anglais dans le cadre d'un cours de langue destiné aux allemands). -<p>Si l'en-tête <code>Content-Language</code> n'est pas spécifié, par défaut, cela signifie que la page est destinée à tout public de langue. Plusieurs tags de langue sont également possibles, ainsi que la mise en place de l'en-tête <code>Content-Language</code> pour dfférents types de médias, et pas seulement pour les documents texte.</p> +Si l'en-tête `Content-Language` n'est pas spécifié, par défaut, cela signifie que la page est destinée à tout public de langue. Plusieurs tags de langue sont également possibles, ainsi que la mise en place de l'en-tête `Content-Language` pour dfférents types de médias, et pas seulement pour les documents texte. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("Entity header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>Non</td> - </tr> - <tr> - <th scope="row">{{Glossary("Simple response header", "CORS-safelisted response-header")}}</th> - <td>Oui</td> - </tr> - <tr> - <th scope="row">{{Glossary("Simple header", "CORS-safelisted request-header")}}</th> - <td>Oui, avec comme restriction supplémentaire que les valeurs ne peuvent contenir que les caractères <code>0-9</code>, <code>A-Z</code>, <code>a-z</code>, l'espace ou <code>*,-.;=</code>.</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("Entity header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>Non</td> + </tr> + <tr> + <th scope="row"> + {{Glossary("Simple response header", "CORS-safelisted response-header")}} + </th> + <td>Oui</td> + </tr> + <tr> + <th scope="row"> + {{Glossary("Simple header", "CORS-safelisted request-header")}} + </th> + <td> + Oui, avec comme restriction supplémentaire que les valeurs ne peuvent + contenir que les + caractères <code>0-9</code>, <code>A-Z</code>, <code>a-z</code>, + l'espace ou <code>*,-.;=</code>. + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Content-Language: de-DE -Content-Language: en-US -Content-Language: de-DE, en-CA -</pre> + Content-Language: de-DE + Content-Language: en-US + Content-Language: de-DE, en-CA -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><code>language-tag</code></dt> - <dd>Plusieurs tags de langue sont séparés par paragraphe. Chaque tag de langue est une séquence d'un ou plusieurs sous-tags insensibles à la casse, chacun séparé par un tiret ("<code>-</code>", <code>%x2D</code>). Dans la plupart des cas, un tag de langue se compose d'un sous-tag de langue principal qui identifie une large famille de langues connexes (par exemple, «en» = anglais), suivi éventuellement d'une série de sous-tags qui affinent ou réduisent la variété de langue. (par exemple, "en-CA" = la variété d'anglais telle que communiquée au Canada).</dd> -</dl> +- `language-tag` + - : Plusieurs tags de langue sont séparés par paragraphe. Chaque tag de langue est une séquence d'un ou plusieurs sous-tags insensibles à la casse, chacun séparé par un tiret ("`-`", `%x2D`). Dans la plupart des cas, un tag de langue se compose d'un sous-tag de langue principal qui identifie une large famille de langues connexes (par exemple, «en» = anglais), suivi éventuellement d'une série de sous-tags qui affinent ou réduisent la variété de langue. (par exemple, "en-CA" = la variété d'anglais telle que communiquée au Canada). -<div class="note"> -<p><strong>Note :</strong> Les tags de langues sont formellement définis dans la RFC 5646, qui repose sur la norme ISO 639 (très souvent la liste de codes ISO 639-1) pour les codes de langue à utiliser.</p> -</div> +> **Note :** Les tags de langues sont formellement définis dans la RFC 5646, qui repose sur la norme ISO 639 (très souvent la liste de codes ISO 639-1) pour les codes de langue à utiliser. -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Indiquer_la_langue_dans_laquelle_un_document_est_écrit">Indiquer la langue dans laquelle un document est écrit</h3> +### Indiquer la langue dans laquelle un document est écrit -<p>L'attribut global <code><a href="/fr/docs/Web/HTML/Global_attributes/lang">lang</a></code> est utilisé sur des éléments HTML pour indiquer la langue d'une page HTML entière ou une partie de celle-ci.</p> +L'attribut global [`lang`](/fr/docs/Web/HTML/Global_attributes/lang) est utilisé sur des éléments HTML pour indiquer la langue d'une page HTML entière ou une partie de celle-ci. -<pre class="brush: html"><html lang="de"></pre> +```html +<html lang="de"> +``` -<p><strong>N'utilisez pas</strong> le meta tag comme ceci pour déclarer la langue d'un document:</p> +**N'utilisez pas** le meta tag comme ceci pour déclarer la langue d'un document: -<pre class="brush: html example-bad"><!-- /!\ C'est une mauvaise pratique --> -<meta http-equiv="content-language" content="de"></pre> +```html example-bad +<!-- /!\ C'est une mauvaise pratique --> +<meta http-equiv="content-language" content="de"> +``` -<h3 id="Indiquer_un_public_cible_pour_une_ressource">Indiquer un public cible pour une ressource</h3> +### Indiquer un public cible pour une ressource -<p>L'en-tête <code>Content-Language</code> est utilisé pour spécifier le public destiné à la page, et peut indiquer si cela est plus qu'une seule langue.</p> +L'en-tête `Content-Language` est utilisé pour spécifier le public destiné à la page, et peut indiquer si cela est plus qu'une seule langue. -<pre>Content-Language: de, en</pre> + Content-Language: de, en -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7231", "Content-Language", "3.1.3.2")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Sémantiques et Contenu</td> - </tr> - </tbody> -</table> +| Spécification | Titre | +| ------------------------------------------------------------ | -------------------------------------------------------------- | +| {{RFC("7231", "Content-Language", "3.1.3.2")}} | Hypertext Transfer Protocol (HTTP/1.1): Sémantiques et Contenu | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Content-Language")}}</p> +{{Compat("http.headers.Content-Language")}} -<h2 id="Voir_également">Voir également</h2> +## Voir également -<ul> - <li>{{HTTPHeader("Accept-Language")}}</li> - <li> - <p><a href="https://www.w3.org/International/questions/qa-http-and-lang.en">HTTP headers, meta elements and language information</a></p> - </li> - <li> - <p><a href="/fr/docs/Web/HTML/Global_attributes/lang">HTML <code>lang</code> attribute</a></p> - </li> -</ul> +- {{HTTPHeader("Accept-Language")}} +- [HTTP headers, meta elements and language information](https://www.w3.org/International/questions/qa-http-and-lang.en) +- [HTML `lang` attribute](/fr/docs/Web/HTML/Global_attributes/lang) diff --git a/files/fr/web/http/headers/content-length/index.md b/files/fr/web/http/headers/content-length/index.md index 91f5d30ca8..f781431ef7 100644 --- a/files/fr/web/http/headers/content-length/index.md +++ b/files/fr/web/http/headers/content-length/index.md @@ -7,56 +7,42 @@ tags: - header translation_of: Web/HTTP/Headers/Content-Length --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête (<em>header</em>) <strong><code>Content-Length</code></strong> indique la taille en octets (exprimée en base 10) du corps de la réponse envoyée au client.</p> +L'en-tête (_header_) **`Content-Length`** indique la taille en octets (exprimée en base 10) du corps de la réponse envoyée au client. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("Entity header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>oui</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("Entity header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>oui</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Content-Length: <longueur> -</pre> + Content-Length: <longueur> -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><longueur></dt> - <dd>La longueur en octet (en base 10).</dd> -</dl> +- \<longueur> + - : La longueur en octet (en base 10). -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7230", "Content-Length", "3.3.2")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing</td> - </tr> - </tbody> -</table> +| Spécification | Titre | +| -------------------------------------------------------- | ------------------------------------------------------------------ | +| {{RFC("7230", "Content-Length", "3.3.2")}} | Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http/headers/content-length")}}</p> +{{Compat("http/headers/content-length")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Transfer-Encoding")}}</li> -</ul> +- {{HTTPHeader("Transfer-Encoding")}} diff --git a/files/fr/web/http/headers/content-security-policy-report-only/index.md b/files/fr/web/http/headers/content-security-policy-report-only/index.md index 7524dab5f1..50efce60fb 100644 --- a/files/fr/web/http/headers/content-security-policy-report-only/index.md +++ b/files/fr/web/http/headers/content-security-policy-report-only/index.md @@ -12,100 +12,99 @@ tags: - header translation_of: Web/HTTP/Headers/Content-Security-Policy-Report-Only --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête de réponse HTTP <strong><code>Content-Security-Policy-Report-Only</code></strong> permet aux développeurs web d'expérimenter avec les règles CSP en contrôlant leur application sans bloquer de contenu. Ces rapports de violations sont constitués d'un document {{Glossary("JSON")}} envoyé via une requête HTTP <code>POST</code> à l'URI spécifiée.</p> +L'en-tête de réponse HTTP **`Content-Security-Policy-Report-Only`** permet aux développeurs web d'expérimenter avec les règles CSP en contrôlant leur application sans bloquer de contenu. Ces rapports de violations sont constitués d'un document {{Glossary("JSON")}} envoyé via une requête HTTP `POST` à l'URI spécifiée. -<p>Pour plus d'informations, voir aussi cet article sur les <a href="/en-US/docs/Web/HTTP/CSP">Content Security Policy (CSP)</a>.</p> +Pour plus d'informations, voir aussi cet article sur les [Content Security Policy (CSP)](/en-US/docs/Web/HTTP/CSP). <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - <tr> - <th colspan="2" scope="row">Cet en-tête n'est pas supporté au sein d'un élément {{HTMLElement("meta")}}.</th> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + <tr> + <th colspan="2" scope="row"> + Cet en-tête n'est pas supporté au sein d'un élément + {{HTMLElement("meta")}}. + </th> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Content-Security-Policy-Report-Only: <policy-directive>; <policy-directive> -</pre> + Content-Security-Policy-Report-Only: <policy-directive>; <policy-directive> -<h2 id="Directives">Directives</h2> +## Directives -<p>Les directives de l'en-tête {{HTTPHeader("Content-Security-Policy")}} peuvent aussi être appliquées à l'en-tête <code>Content-Security-Policy-Report-Only</code>.</p> +Les directives de l'en-tête {{HTTPHeader("Content-Security-Policy")}} peuvent aussi être appliquées à l'en-tête `Content-Security-Policy-Report-Only`. -<p>La directive CSP {{CSP("report-uri")}} doit être utilisée avec celui-ci, ou définir cet en-tête ne servirait à rien puisqu'aucun rapport ne serait envoyé.</p> +La directive CSP {{CSP("report-uri")}} doit être utilisée avec celui-ci, ou définir cet en-tête ne servirait à rien puisqu'aucun rapport ne serait envoyé. -<h2 id="Exemples">Exemples</h2> +## Exemples -<p>Cet en-tête rapporte les violations qui seront constatées. Vous pouvez l'utiliser pour améliorer vos CSP. Vous pouvez observer comment votre site fonctionne en consultant les rapports ou <a href="https://secure.wphackedhelp.com/blog/wordpress-malware-redirect-hack-cleanup/">redirections malicieuses</a>, puis choisir les règles voulues pour bloquer le contenu avec l'en-tête {{HTTPHeader("Content-Security-Policy")}}.</p> +Cet en-tête rapporte les violations qui seront constatées. Vous pouvez l'utiliser pour améliorer vos CSP. Vous pouvez observer comment votre site fonctionne en consultant les rapports ou [redirections malicieuses](https://secure.wphackedhelp.com/blog/wordpress-malware-redirect-hack-cleanup/), puis choisir les règles voulues pour bloquer le contenu avec l'en-tête {{HTTPHeader("Content-Security-Policy")}}. -<pre>Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/</pre> + Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/ -<p>Si vous voulez toujours recevoir des rapports, mais aussi imposer des règles, utilisez l'en-tête {{HTTPHeader("Content-Security-Policy")}} avec la directive {{CSP("report-uri")}}.</p> +Si vous voulez toujours recevoir des rapports, mais aussi imposer des règles, utilisez l'en-tête {{HTTPHeader("Content-Security-Policy")}} avec la directive {{CSP("report-uri")}}. -<pre>Content-Security-Policy: default-src https:; report-uri /csp-violation-report-endpoint/</pre> + Content-Security-Policy: default-src https:; report-uri /csp-violation-report-endpoint/ -<h2 id="Syntaxe_dun_rapport_de_violation">Syntaxe d'un rapport de violation</h2> +## Syntaxe d'un rapport de violation -<p>L'objet de rapport JSON contient les informations suivantes :</p> +L'objet de rapport JSON contient les informations suivantes : -<dl> - <dt><code>blocked-uri</code></dt> - <dd>L'URI de la ressource dont le chargement a été bloqué par les règles Content Security Policy. Si l'URI bloquée est d'une origine différente que celle du document (<code>document-uri</code>), alors l'URI bloquée est tronquée pour contenir uniquement le schéma, l'hôte et le port.</dd> - <dt><code>disposition</code></dt> - <dd>Soit <code>"enforce"</code>, soit <code>"report"</code>, selon que l'en-tête qui a déclenché l'envoi du rapport est {{HTTPHeader("Content-Security-Policy")}} ou <code>Content-Security-Policy-Report-Only</code>.</dd> - <dt><code>document-uri</code></dt> - <dd>L'URI du document dans lequel la violation a eu lieu.</dd> - <dt><code>effective-directive</code></dt> - <dd>La directive qui a causé la violation.</dd> - <dt><code>original-policy</code></dt> - <dd>La règle originale telle que spécifiée par l'en-tête <code>Content-Security-Policy-Report-Only</code>.</dd> - <dt><code>referrer</code></dt> - <dd>Le référent du document dans lequel la violation a eu lieu.</dd> - <dt><code>script-sample</code></dt> - <dd>Les 40 premiers caractères du script embarqué, du gestionnaire d'évènements par attribut ou de la feuille de style qui a causé la violation.</dd> - <dt><code>status-code</code></dt> - <dd>Le code de statut HTTP de la ressource sur laquelle l'objet global a été instancié.</dd> - <dt><code>violated-directive</code></dt> - <dd>Le nom de la directive qui a été violée.</dd> -</dl> +- `blocked-uri` + - : L'URI de la ressource dont le chargement a été bloqué par les règles Content Security Policy. Si l'URI bloquée est d'une origine différente que celle du document (`document-uri`), alors l'URI bloquée est tronquée pour contenir uniquement le schéma, l'hôte et le port. +- `disposition` + - : Soit `"enforce"`, soit `"report"`, selon que l'en-tête qui a déclenché l'envoi du rapport est {{HTTPHeader("Content-Security-Policy")}} ou `Content-Security-Policy-Report-Only`. +- `document-uri` + - : L'URI du document dans lequel la violation a eu lieu. +- `effective-directive` + - : La directive qui a causé la violation. +- `original-policy` + - : La règle originale telle que spécifiée par l'en-tête `Content-Security-Policy-Report-Only`. +- `referrer` + - : Le référent du document dans lequel la violation a eu lieu. +- `script-sample` + - : Les 40 premiers caractères du script embarqué, du gestionnaire d'évènements par attribut ou de la feuille de style qui a causé la violation. +- `status-code` + - : Le code de statut HTTP de la ressource sur laquelle l'objet global a été instancié. +- `violated-directive` + - : Le nom de la directive qui a été violée. -<h2 id="Extrait_de_rapport_de_violation">Extrait de rapport de violation</h2> +## Extrait de rapport de violation -<div>Considérons une page à l'adresse <code>http://example.com/signup.html</code>. Elle utilise la règle CSP suivante, interdisant tout excepté les feuilles de styles chargées depuis <code>cdn.example.com</code>.</div> +Considérons une page à l'adresse `http://example.com/signup.html`. Elle utilise la règle CSP suivante, interdisant tout excepté les feuilles de styles chargées depuis `cdn.example.com`. -<div> -<pre>Content-Security-Policy-Report-Only: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports</pre> -</div> + Content-Security-Policy-Report-Only: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports -<div>La page HTML correspondant à l'adresse <code>signup.html</code> ressemble à :</div> +La page HTML correspondant à l'adresse `signup.html` ressemble à : -<pre class="brush: html"><!DOCTYPE html> -<html> - <head> - <title>Sign Up</title> - <link rel="stylesheet" href="css/style.css"> - </head> - <body> +```html +<!DOCTYPE html> +<html> + <head> + <title>Sign Up</title> + <link rel="stylesheet" href="css/style.css"> + </head> + <body> ... Content ... - </body> -</html></pre> + </body> +</html> +``` -<div>Avez-vous identifié une violation ?</div> +Avez-vous identifié une violation ?Les feuilles de styles ne sont acceptées que si elles sont chargées depuis `cdn.example.com`, et pourtant le site tente d'en charger une depuis sa propre origine (`http://example.com`). Un navigateur capable d'imposer des règles CSP enverra le rapport de violation suivant sous la forme d'une requête POST à l'adresse `http://example.com/_/csp-reports` quand la page sera visitée : -<div>Les feuilles de styles ne sont acceptées que si elles sont chargées depuis <code>cdn.example.com</code>, et pourtant le site tente d'en charger une depuis sa propre origine (<code>http://example.com</code>). Un navigateur capable d'imposer des règles CSP enverra le rapport de violation suivant sous la forme d'une requête POST à l'adresse <code>http://example.com/_/csp-reports</code> quand la page sera visitée :</div> - -<pre class="brush: js">{ +```js +{ "csp-report": { "document-uri": "http://example.com/signup.html", "referrer": "", @@ -114,43 +113,25 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy-Report-Only "original-policy": "default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports", "disposition": "report" } -}</pre> - -<p>Comme vous le voyez, la rapport inclut le chemin complet de la ressource à l'origine de la violaton dans la propriété <code>blocked-uri</code>. Ce n'est pas toujours le cas. Par exemple, quand la page <code>signup.html</code> essaiera de charger un CSS depuis <code>http://anothercdn.example.com/stylesheet.css</code>, le navigateur n'inclura pas le chemin complet mais seulement son origine (<code>http://anothercdn.example.com</code>). Cela est fait pour empêcher les fuites d'informations sensibles à propos de ressources externes.</p> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +} +``` + +Comme vous le voyez, la rapport inclut le chemin complet de la ressource à l'origine de la violaton dans la propriété `blocked-uri`. Ce n'est pas toujours le cas. Par exemple, quand la page `signup.html` essaiera de charger un CSS depuis `http://anothercdn.example.com/stylesheet.css`, le navigateur n'inclura pas le chemin complet mais seulement son origine (`http://anothercdn.example.com`). Cela est fait pour empêcher les fuites d'informations sensibles à propos de ressources externes. + +## Spécifications + +| Spécification | Statut | Commentaire | +| -------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Content-Security-Policy-Report-Only")}}</p> +{{Compat("http.headers.Content-Security-Policy-Report-Only")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>CSP {{CSP("report-uri")}} directive</li> - <li><a href="/en-US/docs/Mozilla/Add-ons/WebExtensions/Content_Security_Policy">Content Security in WebExtensions</a></li> - <li><a href="/en-US/docs/Tools/GCLI/Display_security_and_privacy_policies">Display security and privacy policies In Firefox Developer Tools</a></li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- CSP {{CSP("report-uri")}} directive +- [Content Security in WebExtensions](/en-US/docs/Mozilla/Add-ons/WebExtensions/Content_Security_Policy) +- [Display security and privacy policies In Firefox Developer Tools](/en-US/docs/Tools/GCLI/Display_security_and_privacy_policies) diff --git a/files/fr/web/http/headers/content-security-policy/base-uri/index.md b/files/fr/web/http/headers/content-security-policy/base-uri/index.md index 714cfb2f7b..87d7c5c3a4 100644 --- a/files/fr/web/http/headers/content-security-policy/base-uri/index.md +++ b/files/fr/web/http/headers/content-security-policy/base-uri/index.md @@ -12,98 +12,88 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/base-uri --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>base-uri</code></strong> restreint les URL qui peuvent être utilisées comme valeur d'un élément {{HTMLElement("base")}}. Si cette valeur est absente, alors toutes les adresses sont autorisées. Si cette directive est absente, l'agent utilisateur va utiliser la valeur dans l'élément {{HTMLElement("base")}}.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`base-uri`** restreint les URL qui peuvent être utilisées comme valeur d'un élément {{HTMLElement("base")}}. Si cette valeur est absente, alors toutes les adresses sont autorisées. Si cette directive est absente, l'agent utilisateur va utiliser la valeur dans l'élément {{HTMLElement("base")}}. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>2</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Document directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Non, ne pas la définir autorise toutes les URL</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>2</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Document directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td>Non, ne pas la définir autorise toutes les URL</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs <em>sources</em> peuvent être autorisées pour cette directive :</p> +Une ou plusieurs _sources_ peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: base-uri <source>; -Content-Security-Policy: base-uri <source> <source>; -</pre> + Content-Security-Policy: base-uri <source>; + Content-Security-Policy: base-uri <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>Bien que cette directive utilise les mêmes arguments que d'autres directives CSP, certains d'entre eux n'ont pas de sens concernant l'élément {{HTMLElement("base")}}, comme les valeurs <code>'unsafe-inline'</code> et <code>'strict-dynamic'</code></p> +Bien que cette directive utilise les mêmes arguments que d'autres directives CSP, certains d'entre eux n'ont pas de sens concernant l'élément {{HTMLElement("base")}}, comme les valeurs `'unsafe-inline'` et `'strict-dynamic'` -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Configuration_par_balise_<meta>">Configuration par balise <meta></h3> +### Configuration par balise \<meta> -<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="base-uri 'self'"></pre> +```html +<meta http-equiv="Content-Security-Policy" content="base-uri 'self'"> +``` -<h3 id="Configuration_par_Apache">Configuration par Apache</h3> +### Configuration par Apache -<pre class="brush: bash"><IfModule mod_headers.c> +```bash +<IfModule mod_headers.c> Header set Content-Security-Policy "base-uri 'self'"; -</IfModule></pre> +</IfModule> +``` -<h3 id="Configuration_par_Nginx">Configuration par Nginx</h3> +### Configuration par Nginx -<pre class="brush: bash">add_header Content-Security-Policy "base-uri 'self';"</pre> +```bash +add_header Content-Security-Policy "base-uri 'self';" +``` -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>À partir du moment où votre domaine n'est pas <code>example.com</code>, un élément {{HTMLElement("base")}} avec son attribut <code>href</code> défini à <code>https://example.com</code> résultera en une violation de CSP.</p> +À partir du moment où votre domaine n'est pas `example.com`, un élément {{HTMLElement("base")}} avec son attribut `href` défini à `https://example.com` résultera en une violation de CSP. -<pre class="brush: html; example-bad"><meta http-equiv="Content-Security-Policy" content="base-uri 'self'"> -<base href="https://example.com/"> +```html example-bad +<meta http-equiv="Content-Security-Policy" content="base-uri 'self'"> +<base href="https://example.com/"> // Error: Refused to set the document's base URI to 'https://example.com/' // because it violates the following Content Security Policy -// directive: "base-uri 'self'"</pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{specName("CSP 3.0", "#directive-base-uri", "base-uri")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-base-uri", "base-uri")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +// directive: "base-uri 'self'" +``` + +## Spécifications + +| Spécification | Statut | Commentaire | +| ---------------------------------------------------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-base-uri", "base-uri")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-base-uri", "base-uri")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.base-uri")}}</p> +{{Compat("http.headers.csp.base-uri")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPheader("Content-Security-Policy")}}</li> - <li>{{HTMLElement("base")}}</li> - <li>{{domxref("Node.baseURI")}}</li> -</ul> +- {{HTTPheader("Content-Security-Policy")}} +- {{HTMLElement("base")}} +- {{domxref("Node.baseURI")}} diff --git a/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.md b/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.md index 92897ebaf9..02b2d4f27a 100644 --- a/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.md +++ b/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.md @@ -13,56 +13,40 @@ tags: - block-all-mixed-content translation_of: Web/HTTP/Headers/Content-Security-Policy/block-all-mixed-content --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>block-all-mixed-content</strong></code> bloque le chargement de ressources via HTTP lorsque la page utilise HTTPS.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`block-all-mixed-content`** bloque le chargement de ressources via HTTP lorsque la page utilise HTTPS. -<p>Toutes les requêtes vers des <a href="/fr/docs/Sécurité/MixedContent">contenus mixtes</a> sont alors bloquées, y compris les ressources actives et passives. Cela s'applique aussi aux documents {{HTMLElement("iframe")}}, assurant que la page est complètement protégée contre les contenus mixtes.</p> +Toutes les requêtes vers des [contenus mixtes](/fr/docs/Sécurité/MixedContent) sont alors bloquées, y compris les ressources actives et passives. Cela s'applique aussi aux documents {{HTMLElement("iframe")}}, assurant que la page est complètement protégée contre les contenus mixtes. -<div class="note"> -<p><strong>Note :</strong> La directive {{CSP("upgrade-insecure-requests")}} est évaluée avant <code>block-all-mixed-content</code>. Si elle est définie, alors <code>block-all-mixed-content</code> n'est pas nécessaire, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.</p> -</div> +> **Note :** La directive {{CSP("upgrade-insecure-requests")}} est évaluée avant `block-all-mixed-content`. Si elle est définie, alors `block-all-mixed-content` n'est pas nécessaire, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP. -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Content-Security-Policy: block-all-mixed-content;</pre> + Content-Security-Policy: block-all-mixed-content; -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Content-Security-Policy: block-all-mixed-content; + Content-Security-Policy: block-all-mixed-content; -<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content"> -</pre> + <meta http-equiv="Content-Security-Policy" content="block-all-mixed-content"> -<p>Pour interdire l'usage de HTTP de manière plus fine, vous pouvez aussi configurer individuellement chaque directive sur <code>https:</code>. Par exemple, pour interdire les images HTTP non sécurisées :</p> +Pour interdire l'usage de HTTP de manière plus fine, vous pouvez aussi configurer individuellement chaque directive sur `https:`. Par exemple, pour interdire les images HTTP non sécurisées : -<pre>Content-Security-Policy: img-src https:</pre> + Content-Security-Policy: img-src https: -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Specification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{specName("Mixed Content", "#block-all-mixed-content", "block-all-mixed-content")}}</td> - <td>{{Spec2('Mixed Content')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Specification | Statut | Commentaire | +| ---------------------------------------------------------------------------------------------------------------- | ------------------------------------ | -------------------- | +| {{specName("Mixed Content", "#block-all-mixed-content", "block-all-mixed-content")}} | {{Spec2('Mixed Content')}} | Définition initiale. | -<h2 id="Compatibilités_navigateurs">Compatibilités navigateurs</h2> +## Compatibilités navigateurs -<p>{{Compat("http.headers.csp.block-all-mixed-content")}}</p> +{{Compat("http.headers.csp.block-all-mixed-content")}} -<h2 id="Voir_également">Voir également</h2> +## Voir également -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{CSP("upgrade-insecure-requests")}}</li> - <li><a href="/en-US/docs/Web/Security/Mixed_content">Mixed content</a></li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{CSP("upgrade-insecure-requests")}} +- [Mixed content](/en-US/docs/Web/Security/Mixed_content) diff --git a/files/fr/web/http/headers/content-security-policy/child-src/index.md b/files/fr/web/http/headers/content-security-policy/child-src/index.md index 8cf2d1ab7a..6e2c72d712 100644 --- a/files/fr/web/http/headers/content-security-policy/child-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/child-src/index.md @@ -14,85 +14,74 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/child-src --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>child-src</code></strong> définit les sources valides de <a href="/en-US/docs/Web/API/Web_Workers_API">web workers</a> et de contextes de navigations imbriqués chargés au moyen d'éléments tels que {{HTMLElement("frame")}} et {{HTMLElement("iframe")}}. Pour les workers, les requêtes conformes sont traitées comme des erreurs de réseau fatales par l'agent utilisateur.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`child-src`** définit les sources valides de [web workers](/en-US/docs/Web/API/Web_Workers_API) et de contextes de navigations imbriqués chargés au moyen d'éléments tels que {{HTMLElement("frame")}} et {{HTMLElement("iframe")}}. Pour les workers, les requêtes conformes sont traitées comme des erreurs de réseau fatales par l'agent utilisateur. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>2</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Oui, si cette directive est absente, l'agent utilisateur consultera la directive <code>default-src</code></td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>2</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive <code>default-src</code> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: child-src <source>; -Content-Security-Policy: child-src <source> <source>; -</pre> + Content-Security-Policy: child-src <source>; + Content-Security-Policy: child-src <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}</p> +{{page("Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre class="brush: bash">Content-Security-Policy: child-src https://example.com/</pre> +```bash +Content-Security-Policy: child-src https://example.com/ +``` -<p>Cet {{HTMLElement("iframe")}} et ce worker seront bloqués et ne se chargeront pas :</p> +Cet {{HTMLElement("iframe")}} et ce worker seront bloqués et ne se chargeront pas : -<pre class="brush: html"><iframe src="https://not-example.com"></iframe> +```html +<iframe src="https://not-example.com"></iframe> -<script> +<script> var blockedWorker = new Worker("data:application/javascript,..."); -</script></pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{specName("CSP 3.0", "#directive-child-src", "child-src")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-child-src", "child-src")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +</script> +``` + +## Spécifications + +| Spécification | Statut | Commentaire | +| -------------------------------------------------------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-child-src", "child-src")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-child-src", "child-src")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.child-src")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.child-src")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTMLElement("frame")}} and {{HTMLElement("iframe")}}</li> - <li>{{domxref("Worker")}}, {{domxref("SharedWorker")}}, {{domxref("ServiceWorker")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTMLElement("frame")}} and {{HTMLElement("iframe")}} +- {{domxref("Worker")}}, {{domxref("SharedWorker")}}, {{domxref("ServiceWorker")}} diff --git a/files/fr/web/http/headers/content-security-policy/connect-src/index.md b/files/fr/web/http/headers/content-security-policy/connect-src/index.md index 845f46f7b0..35179b9411 100644 --- a/files/fr/web/http/headers/content-security-policy/connect-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/connect-src/index.md @@ -13,65 +13,66 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/connect-src --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>connect-src</strong></code> restreint les URL qui peuvent être chargées en utilisant des interfaces de programmation. Les API qui sont affectées sont :</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`connect-src`** restreint les URL qui peuvent être chargées en utilisant des interfaces de programmation. Les API qui sont affectées sont : -<ul> - <li>{{HTMLElement("a")}} {{htmlattrxref("ping", "a")}},</li> - <li>{{domxref("Fetch")}},</li> - <li>{{domxref("XMLHttpRequest")}},</li> - <li>{{domxref("WebSocket")}},</li> - <li>{{domxref("EventSource")}}, and</li> - <li>{{domxref("Navigator.sendBeacon()")}}.</li> -</ul> +- {{HTMLElement("a")}} {{htmlattrxref("ping", "a")}}, +- {{domxref("Fetch")}}, +- {{domxref("XMLHttpRequest")}}, +- {{domxref("WebSocket")}}, +- {{domxref("EventSource")}}, and +- {{domxref("Navigator.sendBeacon()")}}. -<div class="note"> -<p><strong>Note :</strong> <code>connect-src 'self'</code> ne s'applique pas aux schémas de websocket pour tous les navigateurs. Pour plus d'informations, consulter : <a href="https://github.com/w3c/webappsec-csp/issues/7">https://github.com/w3c/webappsec-csp/issues/7</a>.</p> -</div> +> **Note :** `connect-src 'self'` ne s'applique pas aux schémas de websocket pour tous les navigateurs. Pour plus d'informations, consulter : <https://github.com/w3c/webappsec-csp/issues/7>. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>1</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Oui, si cette directive est absente, l'agent utilisateur consultera la directive <code>default-src</code></td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>1</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive <code>default-src</code> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: connect-src <source>; -Content-Security-Policy: connect-src <source> <source>; -</pre> + Content-Security-Policy: connect-src <source>; + Content-Security-Policy: connect-src <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("/fr/docs/Web/HTTP/Headers/Content-Security-Policy/default-src", "common_sources")}}</p> +{{page("/fr/docs/Web/HTTP/Headers/Content-Security-Policy/default-src", "common_sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre class="brush: bash">Content-Security-Policy: connect-src https://example.com/</pre> +```bash +Content-Security-Policy: connect-src https://example.com/ +``` -<p>Les connexions suivantes seront bloquées et ne se chargeront pas :</p> +Les connexions suivantes seront bloquées et ne se chargeront pas : -<pre class="brush: html"><a ping="https://not-example.com"> +```html +<a ping="https://not-example.com"> -<script> +<script> var xhr = new XMLHttpRequest(); xhr.open('GET', 'https://not-example.com/'); xhr.send(); @@ -81,49 +82,29 @@ Content-Security-Policy: connect-src <source> <source>; var es = new EventSource("https://not-example.com/"); navigator.sendBeacon("https://not-example.com/", { ... }); -</script></pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#directive-connect-src", "connect-src")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-connect-src", "connect-src")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +</script> +``` + +## Spécifications + +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------------------ | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-connect-src", "connect-src")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-connect-src", "connect-src")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.connect-src")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.connect-src")}} -<h2 id="Notes_de_compatibilité">Notes de compatibilité</h2> +## Notes de compatibilité -<ul> - <li>Avant Firefox 23, <code>xhr-src</code> était utilisé en lieu et place de la directive <code>connect-src</code> et ne s'appliquait qu'à l'API {{domxref("XMLHttpRequest")}}.</li> -</ul> +- Avant Firefox 23, `xhr-src` était utilisé en lieu et place de la directive `connect-src` et ne s'appliquait qu'à l'API {{domxref("XMLHttpRequest")}}. -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTMLElement("a")}} {{htmlattrxref("ping", "a")}}</li> - <li>{{domxref("Fetch")}}</li> - <li>{{domxref("XMLHttpRequest")}}</li> - <li>{{domxref("WebSocket")}}</li> - <li>{{domxref("EventSource")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTMLElement("a")}} {{htmlattrxref("ping", "a")}} +- {{domxref("Fetch")}} +- {{domxref("XMLHttpRequest")}} +- {{domxref("WebSocket")}} +- {{domxref("EventSource")}} diff --git a/files/fr/web/http/headers/content-security-policy/default-src/index.md b/files/fr/web/http/headers/content-security-policy/default-src/index.md index 9f2d9d6cb8..ac8590e5ce 100644 --- a/files/fr/web/http/headers/content-security-policy/default-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/default-src/index.md @@ -14,108 +14,105 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/default-src --- -<div>{{HTTPSidebar}}</div> - -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>default-src</code></strong> sert de valeur par défaut pour les autres directives CSP {{Glossary("fetch directive", "fetch directives")}}.</p> - -<p>Pour chacune des directives suivantes, l'agent utilisateur consultera la directive <code>default-src</code> et utilisera sa valeur pour la directive demandée si celle-ci est absente :</p> - -<ul> - <li>{{CSP("child-src")}}</li> - <li>{{CSP("connect-src")}}</li> - <li>{{CSP("font-src")}}</li> - <li>{{CSP("frame-src")}}</li> - <li>{{CSP("img-src")}}</li> - <li>{{CSP("manifest-src")}}</li> - <li>{{CSP("media-src")}}</li> - <li>{{CSP("object-src")}}</li> - <li>{{CSP("prefetch-src")}}</li> - <li>{{CSP("script-src")}}</li> - <li>{{CSP("script-src-elem")}}</li> - <li>{{CSP("script-src-attr")}}</li> - <li>{{CSP("style-src")}}</li> - <li>{{CSP("style-src-elem")}}</li> - <li>{{CSP("style-src-attr")}}</li> - <li>{{CSP("worker-src")}}</li> -</ul> +{{HTTPSidebar}} + +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`default-src`** sert de valeur par défaut pour les autres directives CSP {{Glossary("fetch directive", "fetch directives")}}. + +Pour chacune des directives suivantes, l'agent utilisateur consultera la directive `default-src` et utilisera sa valeur pour la directive demandée si celle-ci est absente : + +- {{CSP("child-src")}} +- {{CSP("connect-src")}} +- {{CSP("font-src")}} +- {{CSP("frame-src")}} +- {{CSP("img-src")}} +- {{CSP("manifest-src")}} +- {{CSP("media-src")}} +- {{CSP("object-src")}} +- {{CSP("prefetch-src")}} +- {{CSP("script-src")}} +- {{CSP("script-src-elem")}} +- {{CSP("script-src-attr")}} +- {{CSP("style-src")}} +- {{CSP("style-src-elem")}} +- {{CSP("style-src-attr")}} +- {{CSP("worker-src")}} <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>1</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>1</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> - -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> - -<pre class="syntaxbox">Content-Security-Policy: default-src <source>; -Content-Security-Policy: default-src <source> <source>; -</pre> - -<h3 id="Sources">Sources</h3> - -<p>La <source> peut être une des suivantes :</p> - -<dl> - <dt><host-source></dt> - <dd>Des hôtes Internet par leur nom de domaine ou adresse IP, aussi bien qu'un <a href="/en-US/docs/URIs_and_URLs">protocole</a> et/ou un numéro de port. L'adresse du site peut inclure un caractère de remplacement optionnel (l'astérisque <code>'*'</code>), qui ne peut être utilisée que pour indiquer un sous-domaine ou que tous les ports existants sont des sources valides.<br> - Exemples: - <ul> - <li><code>http://*.example.com</code>: correspondra à toutes les tentatives d'accès pour tous les sous-domaines de example.com via le protocole <code>http:</code>.</li> - <li><code>mail.example.com:443</code>: correspondra à toutes les tentatives d'accès sur le port 443 de mail.example.com.</li> - <li><code>https://store.example.com</code>: correspondra à toutes les tentatives d'accès à store.example.com via le protocole <code>https:</code>.</li> - <li><code>*.example.com</code>: correspondra à toutes les tentatives d'accès pour tous les sous-domaines de example.com en utilisant le protocole courant.</li> - </ul> - </dd> - <dt><scheme-source></dt> - <dd>Un protocole tel que <code>http:</code> ou <code>https:</code>. Les deux-points sont nécessaires. Contrairement à d'autres valeurs ci-bas, les guillemets ne devraient pas être employés. Vous pouvez aussi spécifier des schémas de données (quoi que ce ne soit pas recommandé). - <ul> - <li><code>data:</code> permet aux <a href="/en-US/docs/Web/HTTP/Basics_of_HTTP/Data_URIs">URI <code>data:</code></a> d'être utilisées comme sources de contenu.<em> Cette pratique manque de sécurité ; une personne malveillante peut aussi injecter des URI data: arbitraires. Utilisez cette valeur avec parcimonie certainement pas pour des scripts.</em></li> - <li><code>mediastream:</code> permet aux <a href="/en-US/docs/Web/API/MediaStream_API">URI <code>mediastream:</code></a> d'être utilisées comme source de contenu.</li> - <li><code>blob:</code> permet aux <a href="/en-US/docs/Web/API/Blob">URI <code>blob:</code></a> d'être utilisées comme source de contenu.</li> - <li><code>filesystem:</code> Allows <a href="/en-US/docs/Web/API/FileSystem">URI <code>filesystem:</code></a> d'être utilisées comme source de contenu.</li> - </ul> - </dd> - <dt><code>'self'</code></dt> - <dd>Cette valeur fait référence au domaine dont est originaire le document protégé, y compris le protocole et le numéro de port. Vous devez mettre cette valeur entre guillemets. Certains navigateurs excluent spécifiquement les valeurs <code>blob</code> et <code>filesystem</code> des directives de source. Les sites nécessitant une permission pour ces types de contenu peuvent les spécifier en utilisant l'attribut Data.</dd> - <dt><code>'unsafe-eval'</code></dt> - <dd>Permet l'usage de la fonction <code>eval()</code> et de méthodes similaires pour créer du code à partir de chaines de caractères. Vous devez mettre cette valeur entre guillemets.</dd> - <dt><code>'unsafe-hashes'</code></dt> - <dd>Permet l'usage de certains <a href="/en-US/docs/Web/Guide/Events/Event_handlers">écouteurs d'évènements</a> par attributs. Si vous n'avez besoin que d'écouteurs d'évènements par attributs et non d'éléments {{HTMLElement("script")}} embarqués ou d'URL <code>javascript:</code>, cette valeur est plus sécurisée que <code>unsafe-inline</code>.</dd> - <dt><code>'unsafe-inline'</code></dt> - <dd>Permet l'usage de ressources embarquées, tels que des éléments {{HTMLElement("script")}} (sans <code>src</code>), d'URL <code>javascript:</code>, de gestionnaire d'évènement par attributs (<code>on<eventName></code>), et d'éléments {{HTMLElement("style")}}. Vous devez mettre cette valeur entre guillemets.</dd> - <dt><code>'none'</code></dt> - <dd>Aucune source n'est admise. Vous devez mettre cette valeur entre guillemets.</dd> - <dt>'nonce-<base64-value>'</dt> - <dd>Une liste de permissions pour des scripts embarqués spécifiques en utilisant un nonce (<em>number used once</em>, nombre à usage unique) cryptographique. Le serveur doit générer un nonce à chaque fois qu'il transmet une réponse. Il est extrèmement important de fournir des nonces non prédictibles, puisque le contraire permettrait aisément de contourner la stratégie de sécurité. Voir <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#Unsafe_inline_script">inline script non fiables</a> pour avoir un exemple. Spécifier un nonce implique que les navigateurs modernes ignoreront la valeur <code>'unsafe-inline'</code>, qui peut toutefois être laissée pour les anciens navigateurs ne supportant pas les nonces.</dd> - <dt>'<hash-algorithm>-<base64-value>'</dt> - <dd>Un hash sha256, sha384 ou sha512 d'un <code><script></code> ou d'un <code><style></code>. Cette source est composée de deux parties séparées par un tiret : le nom de l'algorithme de chiffrage utilisé pour générer le hash à gauche et le hash encodé en base 64 à droite. Lors de la génération du hash, il ne faut pas inclure les balises <code><script></code> or <code><style></code> et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.). Voir <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#Unsafe_inline_script">inline script non fiables</a> pour en avoir un exemple. En CSP 2.0, cette valeur ne s'applique qu'aux scripts embarqués. CSP 3.0 le permet aussi dans le cas de scripts externes.</dd> - <dt>'strict-dynamic'</dt> - <dd>La valeur <code>strict-dynamic</code> spécifie que la confiance explicitement donnée à un script de la page, par le biais d'un nonce ou d'un hash, doit être propagée à tous les scripts chargés par celui-ci. En conséquence, toute les valeurs telles que <code>'self'</code> ou <code>'unsafe-inline'</code> et listes de permissions sont ignorées. Voir <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#strict-dynamic">script-src</a> pour en avoir un exemple.</dd> - <dt>'report-sample'</dt> - <dd>Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé.</dd> -</dl> - - -<h2 id="Exemples">Exemples</h2> - -<h3 id="Absence_dhéritage_avec_default-src">Absence d'héritage avec default-src</h3> - -<p>S'il y a d'autres directives spécifiées, <code>default-src</code> ne les affecte pas. Soit l'en-tête suivant :</p> - -<pre class="brush: bash">Content-Security-Policy: default-src 'self'; script-src https://example.com</pre> - -<p>Est identique à :</p> - -<pre class="brush: bash">Content-Security-Policy: connect-src 'self'; +## Syntaxe + +Une ou plusieurs sources peuvent être autorisées pour cette directive : + + Content-Security-Policy: default-src <source>; + Content-Security-Policy: default-src <source> <source>; + +### Sources + +La \<source> peut être une des suivantes : + +- \<host-source> + + - : Des hôtes Internet par leur nom de domaine ou adresse IP, aussi bien qu'un [protocole](/en-US/docs/URIs_and_URLs) et/ou un numéro de port. L'adresse du site peut inclure un caractère de remplacement optionnel (l'astérisque `'*'`), qui ne peut être utilisée que pour indiquer un sous-domaine ou que tous les ports existants sont des sources valides. + Exemples: + + - `http://*.example.com`: correspondra à toutes les tentatives d'accès pour tous les sous-domaines de example.com via le protocole `http:`. + - `mail.example.com:443`: correspondra à toutes les tentatives d'accès sur le port 443 de mail.example.com. + - `https://store.example.com`: correspondra à toutes les tentatives d'accès à store.example.com via le protocole `https:`. + - `*.example.com`: correspondra à toutes les tentatives d'accès pour tous les sous-domaines de example.com en utilisant le protocole courant. + +- \<scheme-source> + + - : Un protocole tel que `http:` ou `https:`. Les deux-points sont nécessaires. Contrairement à d'autres valeurs ci-bas, les guillemets ne devraient pas être employés. Vous pouvez aussi spécifier des schémas de données (quoi que ce ne soit pas recommandé). + + - `data:` permet aux [URI `data:`](/en-US/docs/Web/HTTP/Basics_of_HTTP/Data_URIs) d'être utilisées comme sources de contenu. _Cette pratique manque de sécurité ; une personne malveillante peut aussi injecter des URI data: arbitraires. Utilisez cette valeur avec parcimonie certainement pas pour des scripts._ + - `mediastream:` permet aux [URI `mediastream:`](/en-US/docs/Web/API/MediaStream_API) d'être utilisées comme source de contenu. + - `blob:` permet aux [URI `blob:`](/en-US/docs/Web/API/Blob) d'être utilisées comme source de contenu. + - `filesystem:` Allows [URI `filesystem:`](/en-US/docs/Web/API/FileSystem) d'être utilisées comme source de contenu. + +- `'self'` + - : Cette valeur fait référence au domaine dont est originaire le document protégé, y compris le protocole et le numéro de port. Vous devez mettre cette valeur entre guillemets. Certains navigateurs excluent spécifiquement les valeurs `blob` et `filesystem` des directives de source. Les sites nécessitant une permission pour ces types de contenu peuvent les spécifier en utilisant l'attribut Data. +- `'unsafe-eval'` + - : Permet l'usage de la fonction `eval()` et de méthodes similaires pour créer du code à partir de chaines de caractères. Vous devez mettre cette valeur entre guillemets. +- `'unsafe-hashes'` + - : Permet l'usage de certains [écouteurs d'évènements](/en-US/docs/Web/Guide/Events/Event_handlers) par attributs. Si vous n'avez besoin que d'écouteurs d'évènements par attributs et non d'éléments {{HTMLElement("script")}} embarqués ou d'URL `javascript:`, cette valeur est plus sécurisée que `unsafe-inline`. +- `'unsafe-inline'` + - : Permet l'usage de ressources embarquées, tels que des éléments {{HTMLElement("script")}} (sans `src`), d'URL `javascript:`, de gestionnaire d'évènement par attributs (`on<eventName>`), et d'éléments {{HTMLElement("style")}}. Vous devez mettre cette valeur entre guillemets. +- `'none'` + - : Aucune source n'est admise. Vous devez mettre cette valeur entre guillemets. +- 'nonce-\<base64-value>' + - : Une liste de permissions pour des scripts embarqués spécifiques en utilisant un nonce (_number used once_, nombre à usage unique) cryptographique. Le serveur doit générer un nonce à chaque fois qu'il transmet une réponse. Il est extrèmement important de fournir des nonces non prédictibles, puisque le contraire permettrait aisément de contourner la stratégie de sécurité. Voir [inline script non fiables](/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#Unsafe_inline_script) pour avoir un exemple. Spécifier un nonce implique que les navigateurs modernes ignoreront la valeur `'unsafe-inline'`, qui peut toutefois être laissée pour les anciens navigateurs ne supportant pas les nonces. +- '\<hash-algorithm>-\<base64-value>' + - : Un hash sha256, sha384 ou sha512 d'un `<script>` ou d'un `<style>`. Cette source est composée de deux parties séparées par un tiret : le nom de l'algorithme de chiffrage utilisé pour générer le hash à gauche et le hash encodé en base 64 à droite. Lors de la génération du hash, il ne faut pas inclure les balises `<script>` or `<style>` et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.). Voir [inline script non fiables](/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#Unsafe_inline_script) pour en avoir un exemple. En CSP 2.0, cette valeur ne s'applique qu'aux scripts embarqués. CSP 3.0 le permet aussi dans le cas de scripts externes. +- 'strict-dynamic' + - : La valeur `strict-dynamic` spécifie que la confiance explicitement donnée à un script de la page, par le biais d'un nonce ou d'un hash, doit être propagée à tous les scripts chargés par celui-ci. En conséquence, toute les valeurs telles que `'self'` ou `'unsafe-inline'` et listes de permissions sont ignorées. Voir [script-src](/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#strict-dynamic) pour en avoir un exemple. +- 'report-sample' + - : Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé. + +## Exemples + +### Absence d'héritage avec default-src + +S'il y a d'autres directives spécifiées, `default-src` ne les affecte pas. Soit l'en-tête suivant : + +```bash +Content-Security-Policy: default-src 'self'; script-src https://example.com +``` + +Est identique à : + +```bash +Content-Security-Policy: connect-src 'self'; font-src 'self'; frame-src 'self'; img-src 'self'; @@ -124,51 +121,29 @@ Content-Security-Policy: default-src <source> <source>; object-src 'self'; script-src https://example.com; style-src 'self'; - worker-src 'self'</pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#directive-default-src", "default-src")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Ajout de <code>frame-src</code>, <code>manifest-src</code> et <code>worker-src</code> comme valeurs par défaut.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-default-src", "default-src")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> + worker-src 'self' +``` + +## Spécifications -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------------------ | ---------------------------- | ------------------------------------------------------------------------------ | +| {{specName("CSP 3.0", "#directive-default-src", "default-src")}} | {{Spec2('CSP 3.0')}} | Ajout de `frame-src`, `manifest-src` et `worker-src` comme valeurs par défaut. | +| {{specName("CSP 1.1", "#directive-default-src", "default-src")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | +## Compatibilité des navigateurs +{{Compat("http.headers.csp.Content-Security-Policy.default-src")}} -<p>{{Compat("http.headers.csp.Content-Security-Policy.default-src")}}</p> +## Voir aussi -<h2 id="Voir_aussi">Voir aussi</h2> +- {{HTTPHeader("Content-Security-Policy")}} +- CSP directives (<https://www.w3.org/TR/CSP/#csp-directives>): -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>CSP directives (<a href="https://www.w3.org/TR/CSP/#csp-directives">https://www.w3.org/TR/CSP/#csp-directives</a>): - <ul> - <li>{{Glossary("Fetch directive")}}</li> - <li>{{Glossary("Document directive")}}</li> - <li>{{Glossary("Navigation directive")}}</li> - <li>{{Glossary("Reporting directive")}}</li> - <li><code><a href="/docs/Web/HTTP/Headers/Content-Security-Policy/upgrade-insecure-requests">upgrade-insecure-requests</a></code></li> - <li><code><a href="/docs/Web/HTTP/Headers/Content-Security-Policy/block-all-mixed-content">block-all-mixed-content</a></code></li> - <li><code><a href="/docs/Web/HTTP/Headers/Content-Security-Policy/require-sri-for">require-sri-for</a></code> {{experimental_inline}}</li> - </ul> - </li> -</ul> + - {{Glossary("Fetch directive")}} + - {{Glossary("Document directive")}} + - {{Glossary("Navigation directive")}} + - {{Glossary("Reporting directive")}} + - [`upgrade-insecure-requests`](/docs/Web/HTTP/Headers/Content-Security-Policy/upgrade-insecure-requests) + - [`block-all-mixed-content`](/docs/Web/HTTP/Headers/Content-Security-Policy/block-all-mixed-content) + - [`require-sri-for`](/docs/Web/HTTP/Headers/Content-Security-Policy/require-sri-for) {{experimental_inline}} diff --git a/files/fr/web/http/headers/content-security-policy/font-src/index.md b/files/fr/web/http/headers/content-security-policy/font-src/index.md index d5f2317624..448e545cc4 100644 --- a/files/fr/web/http/headers/content-security-policy/font-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/font-src/index.md @@ -13,50 +13,55 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/font-src --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>font</strong></code><strong><code>-src</code></strong> spécifie les sources valides pour les polices chargés avec {{cssxref("@font-face")}}.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`font`\*\***`-src`\*\* spécifie les sources valides pour les polices chargés avec {{cssxref("@font-face")}}. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>1</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Oui, si cette directive est absente, l'agent utilisateur consultera la directive <code>default-src</code></td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>1</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive <code>default-src</code> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: font-src <source>; -Content-Security-Policy: font-src <source> <source>; -</pre> + Content-Security-Policy: font-src <source>; + Content-Security-Policy: font-src <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre class="brush: bash">Content-Security-Policy: font-src https://example.com/</pre> +```bash +Content-Security-Policy: font-src https://example.com/ +``` -<p>Cette définition de police sera bloquée et ne se chargera pas :</p> +Cette définition de police sera bloquée et ne se chargera pas : -<pre class="brush: html"><style> +```html +<style> @font-face { font-family: "MyFont"; src: url("https://not-example.com/font"); @@ -64,37 +69,21 @@ Content-Security-Policy: font-src <source> <source>; body { font-family: "MyFont"; } -</style></pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{specName("CSP 3.0", "#directive-font-src", "font-src")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-font-src", "font-src")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +</style> +``` + +## Spécifications + +| Spécification | Statut | Commentaire | +| ---------------------------------------------------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-font-src", "font-src")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-font-src", "font-src")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.font-src")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.font-src")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{cssxref("@font-face")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{cssxref("@font-face")}} diff --git a/files/fr/web/http/headers/content-security-policy/form-action/index.md b/files/fr/web/http/headers/content-security-policy/form-action/index.md index fee4d1839f..2c62d630ec 100644 --- a/files/fr/web/http/headers/content-security-policy/form-action/index.md +++ b/files/fr/web/http/headers/content-security-policy/form-action/index.md @@ -12,102 +12,90 @@ tags: - form-action translation_of: Web/HTTP/Headers/Content-Security-Policy/form-action --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>form</strong></code><strong><code>-action</code></strong> restreint les URL pouvant être utilisées comme cibles de soumissions de formulaires depuis un contexte donné.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`form`\*\***`-action`\*\* restreint les URL pouvant être utilisées comme cibles de soumissions de formulaires depuis un contexte donné. -<div class="warning"> -<p><strong>Attention :</strong> La question de savoir si <code>form-action</code> doit bloquer les redirections après une soumission de formulaire est encore <a href="https://github.com/w3c/webappsec-csp/issues/8">débattue</a> et les implantations des navigateurs sur cet aspect sont incohérentes (par exemple Firefox 57 ne les bloque pas, contrairement à Chrome 63).</p> -</div> +> **Attention :** La question de savoir si `form-action` doit bloquer les redirections après une soumission de formulaire est encore [débattue](https://github.com/w3c/webappsec-csp/issues/8) et les implantations des navigateurs sur cet aspect sont incohérentes (par exemple Firefox 57 ne les bloque pas, contrairement à Chrome 63). <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>2</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Navigation directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Non, ne pas la définir autorise toutes les adresses.</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>2</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Navigation directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td>Non, ne pas la définir autorise toutes les adresses.</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être utilisées pour cette directive :</p> +Une ou plusieurs sources peuvent être utilisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: form-action <source>; -Content-Security-Policy: form-action <source> <source>; -</pre> + Content-Security-Policy: form-action <source>; + Content-Security-Policy: form-action <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Configuration_par_balise_<meta>">Configuration par balise <meta></h3> +### Configuration par balise \<meta> -<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="form-action 'none'"></pre> +```html +<meta http-equiv="Content-Security-Policy" content="form-action 'none'"> +``` -<h3 id="Configuration_par_Apache">Configuration par Apache</h3> +### Configuration par Apache -<pre class="brush: bash"><IfModule mod_headers.c> +```bash +<IfModule mod_headers.c> Header set Content-Security-Policy "form-action 'none';" -</IfModule></pre> +</IfModule> +``` -<h3 id="Configuration_par_Nginx">Configuration par Nginx</h3> +### Configuration par Nginx -<pre class="brush: bash">add_header Content-Security-Policy "form-action 'none';"</pre> +```bash +add_header Content-Security-Policy "form-action 'none';" +``` -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>Utiliser un élément {{HTMLElement("form")}} avec un attribut <code>action</code> défini à un script embarqué JavaScript résultera en une violation de CSP :</p> +Utiliser un élément {{HTMLElement("form")}} avec un attribut `action` défini à un script embarqué JavaScript résultera en une violation de CSP : -<pre class="brush: html; example-bad"><meta http-equiv="Content-Security-Policy" content="form-action 'none'"> +```html example-bad +<meta http-equiv="Content-Security-Policy" content="form-action 'none'"> -<form action="javascript:alert('Foo')" id="form1" method="post"> - <input type="text" name="fieldName" value="fieldValue"> - <input type="submit" id="submit" value="submit"> -</form> +<form action="javascript:alert('Foo')" id="form1" method="post"> + <input type="text" name="fieldName" value="fieldValue"> + <input type="submit" id="submit" value="submit"> +</form> // Error: Refused to send form data because it violates the following -// Content Security Policy directive: "form-action 'none'".</pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{specName("CSP 3.0", "#directive-form-action", "form-action")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-form-action", "form-action")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +// Content Security Policy directive: "form-action 'none'". +``` + +## Spécifications + +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------------------ | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-form-action", "form-action")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-form-action", "form-action")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.form-action")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.form-action")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPheader("Content-Security-Policy")}}</li> - <li>{{HTMLElement("form")}}</li> -</ul> +- {{HTTPheader("Content-Security-Policy")}} +- {{HTMLElement("form")}} diff --git a/files/fr/web/http/headers/content-security-policy/frame-ancestors/index.md b/files/fr/web/http/headers/content-security-policy/frame-ancestors/index.md index 756e247616..04447f1f64 100644 --- a/files/fr/web/http/headers/content-security-policy/frame-ancestors/index.md +++ b/files/fr/web/http/headers/content-security-policy/frame-ancestors/index.md @@ -13,112 +13,93 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/frame-ancestors --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>frame-ancestors</strong></code> spécifie les parents pouvant intégrer une page en utilisant {{HTMLElement("frame")}}, {{HTMLElement("iframe")}}, {{HTMLElement("object")}}, {{HTMLElement("embed")}}, ou {{HTMLElement("applet")}}.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`frame-ancestors`** spécifie les parents pouvant intégrer une page en utilisant {{HTMLElement("frame")}}, {{HTMLElement("iframe")}}, {{HTMLElement("object")}}, {{HTMLElement("embed")}}, ou {{HTMLElement("applet")}}. -<p>Définir cette directive à <code>'none'</code> est comparable à len-tête HTTP {{HTTPHeader("X-Frame-Options")}}<code>: deny</code> (aussi supporté sur les anciens navigateurs).</p> +Définir cette directive à `'none'` est comparable à len-tête HTTP {{HTTPHeader("X-Frame-Options")}}`: deny` (aussi supporté sur les anciens navigateurs). <table class="properties"> - <tbody> - <tr> - <th scope="row">CSP version</th> - <td>2</td> - </tr> - <tr> - <th scope="row">Directive type</th> - <td>{{Glossary("Navigation directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} fallback</th> - <td>No. Not setting this allows anything.</td> - </tr> - <tr> - <th colspan="2" scope="row">This directive is not supported in the {{HTMLElement("meta")}} element.</th> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">CSP version</th> + <td>2</td> + </tr> + <tr> + <th scope="row">Directive type</th> + <td>{{Glossary("Navigation directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} fallback</th> + <td>No. Not setting this allows anything.</td> + </tr> + <tr> + <th colspan="2" scope="row"> + This directive is not supported in the {{HTMLElement("meta")}} + element. + </th> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> - -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> - -<pre class="syntaxbox">Content-Security-Policy: frame-ancestors <source>; -Content-Security-Policy: frame-ancestors <source> <source>; -</pre> - -<h3 id="Sources">Sources</h3> - -<p>La <source> peut être une des suivantes :</p> - -<div class="note"> -<p><strong>Note :</strong> The <code>frame-ancestors</code> directive’s syntax is similar to a source list of other directives (e.g. {{CSP("default-src")}}), but doesn't allow <code>'unsafe-eval'</code> or <code>'unsafe-inline'</code> for example. It will also not fall back to a <code>default-src</code> setting. Only the sources listed below are allowed:</p> -</div> - -<dl> - <dt><host-source></dt> - <dd>Des hôtes Internet par leur nom de domaine ou adresse IP, aussi bien qu'un <a href="/fr/docs/URIs_and_URLs">protocole</a> et/ou un numéro de port. L'adresse du site peut inclure un caractère de remplacement optionnel (l'astérisque <code>'*'</code>), qui ne peut être utilisée que pour indiquer un sous-domaine ou que tous les ports existants sont des sources valides. Vous ne devez pas mettre de guillemets simples.<br> - Exemples : - <ul> - <li><code>http://*.example.com</code>: correspondra à toutes les tentatives d'accès pour tous les sous-domaines de example.com via le protocole <code>http:</code>.</li> - <li><code>mail.example.com:443</code>: correspondra à toutes les tentatives d'accès sur le port 443 de mail.example.com.</li> - <li><code>https://store.example.com</code>: correspondra à toutes les tentatives d'accès à store.example.com via le protocole <code>https:</code>.</li> - </ul> - - <div class="warning"> - <p><strong>Attention :</strong> Si aucun schéma d'URL n'est spécifié comme <code>host-source</code> et que l'{{HTMLElement("iframe")}} est chargée via une URL <code>https:</code>, la page chargeant l'iframe doit aussi être chargée en <code>https:</code>, selon la spécification du W3C sur <a href="https://w3c.github.io/webappsec-csp/2/#match-source-expression">les correspondances de valeurs de sources</a>.</p> - </div> - </dd> - <dt><scheme-source></dt> - <dd>Un protocole tel que <code>http:</code> or <code>https:</code>. Les deux-points sont nécessaires et vous ne devez pas mettre de guillemets. Vous pouvez aussi spécifier des schémas de données bien que ce ne soit pas recommandé. - <ul> - <li><code>data:</code> Autorise <a href="/en-US/docs/Web/HTTP/Basics_of_HTTP/Data_URIs">les URI <code>data:</code></a> à être utilisées comme source de contenu.<em> Cette pratique manque de sécurité ; une personne malveillante peut aussi injecter des URI data: arbitraires. Utilisez cette valeur avec parcimonie et certainement pas pour des scripts.</em></li> - <li><code>mediastream:</code> permet aux <a href="/fr/docs/Web/API/MediaStream_API">URI <code>mediastream:</code></a> d'être utilisées comme source de contenu.</li> - <li><code>blob:</code> permet aux <a href="/fr/docs/Web/API/Blob">URI <code>blob:</code></a> d'être utilisées comme source de contenu.</li> - <li><code>filesystem:</code> Allows <a href="/fr/docs/Web/API/FileSystem">URI <code>filesystem:</code></a> d'être utilisées comme source de contenu.</li> - </ul> - </dd> - <dt><code>'self'</code></dt> - <dd>Cette valeur fait référence au domaine dont est originaire le document protégé, y compris le protocole et le numéro de port. Vous devez mettre cette valeur entre guillemets. Certains navigateurs excluent spécifiquement les valeurs <code>blob</code> et <code>filesystem</code> des directives de source. Les sites nécessitant une permission pour ces types de contenu peuvent les spécifier en utilisant l'attribut Data.</dd> - <dt><code>'none'</code></dt> - <dd>Aucune source n'est admise. Vous devez mettre cette valeur entre guillemets.</dd> -</dl> - -<h2 id="Exemples">Exemples</h2> - -<pre class="brush: bash">Content-Security-Policy: frame-ancestors 'none'; - -Content-Security-Policy: frame-ancestors 'self' https://www.example.org;</pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{specName("CSP 3.0", "#directive-frame-ancestors", "frame-ancestors")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-frame-ancestors", "frame-ancestors")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +## Syntaxe + +Une ou plusieurs sources peuvent être autorisées pour cette directive : + + Content-Security-Policy: frame-ancestors <source>; + Content-Security-Policy: frame-ancestors <source> <source>; + +### Sources + +La \<source> peut être une des suivantes : + +> **Note :** The `frame-ancestors` directive’s syntax is similar to a source list of other directives (e.g. {{CSP("default-src")}}), but doesn't allow `'unsafe-eval'` or `'unsafe-inline'` for example. It will also not fall back to a `default-src` setting. Only the sources listed below are allowed: + +- \<host-source> + + - : Des hôtes Internet par leur nom de domaine ou adresse IP, aussi bien qu'un [protocole](/fr/docs/URIs_and_URLs) et/ou un numéro de port. L'adresse du site peut inclure un caractère de remplacement optionnel (l'astérisque `'*'`), qui ne peut être utilisée que pour indiquer un sous-domaine ou que tous les ports existants sont des sources valides. Vous ne devez pas mettre de guillemets simples. + Exemples : + + - `http://*.example.com`: correspondra à toutes les tentatives d'accès pour tous les sous-domaines de example.com via le protocole `http:`. + - `mail.example.com:443`: correspondra à toutes les tentatives d'accès sur le port 443 de mail.example.com. + - `https://store.example.com`: correspondra à toutes les tentatives d'accès à store.example.com via le protocole `https:`. + + > **Attention :** Si aucun schéma d'URL n'est spécifié comme `host-source` et que l'{{HTMLElement("iframe")}} est chargée via une URL `https:`, la page chargeant l'iframe doit aussi être chargée en `https:`, selon la spécification du W3C sur [les correspondances de valeurs de sources](https://w3c.github.io/webappsec-csp/2/#match-source-expression). + +- \<scheme-source> + + - : Un protocole tel que `http:` or `https:`. Les deux-points sont nécessaires et vous ne devez pas mettre de guillemets. Vous pouvez aussi spécifier des schémas de données bien que ce ne soit pas recommandé. + + - `data:` Autorise [les URI `data:`](/en-US/docs/Web/HTTP/Basics_of_HTTP/Data_URIs) à être utilisées comme source de contenu. _Cette pratique manque de sécurité ; une personne malveillante peut aussi injecter des URI data: arbitraires. Utilisez cette valeur avec parcimonie et certainement pas pour des scripts._ + - `mediastream:` permet aux [URI `mediastream:`](/fr/docs/Web/API/MediaStream_API) d'être utilisées comme source de contenu. + - `blob:` permet aux [URI `blob:`](/fr/docs/Web/API/Blob) d'être utilisées comme source de contenu. + - `filesystem:` Allows [URI `filesystem:`](/fr/docs/Web/API/FileSystem) d'être utilisées comme source de contenu. + +- `'self'` + - : Cette valeur fait référence au domaine dont est originaire le document protégé, y compris le protocole et le numéro de port. Vous devez mettre cette valeur entre guillemets. Certains navigateurs excluent spécifiquement les valeurs `blob` et `filesystem` des directives de source. Les sites nécessitant une permission pour ces types de contenu peuvent les spécifier en utilisant l'attribut Data. +- `'none'` + - : Aucune source n'est admise. Vous devez mettre cette valeur entre guillemets. + +## Exemples + +```bash +Content-Security-Policy: frame-ancestors 'none'; + +Content-Security-Policy: frame-ancestors 'self' https://www.example.org; +``` + +## Spécifications + +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------------------------------ | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-frame-ancestors", "frame-ancestors")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-frame-ancestors", "frame-ancestors")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.frame-ancestors")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.frame-ancestors")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTTPHeader("X-Frame-Options")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTTPHeader("X-Frame-Options")}} diff --git a/files/fr/web/http/headers/content-security-policy/frame-src/index.md b/files/fr/web/http/headers/content-security-policy/frame-src/index.md index e5d7566d81..f92daaa19d 100644 --- a/files/fr/web/http/headers/content-security-policy/frame-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/frame-src/index.md @@ -14,82 +14,70 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/frame-src --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>frame-src</strong></code> spécifie les sources valides pour des contextes de navigation imbriqués chargés d'éléments tels que {{HTMLElement("frame")}} et {{HTMLElement("iframe")}}.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`frame-src`** spécifie les sources valides pour des contextes de navigation imbriqués chargés d'éléments tels que {{HTMLElement("frame")}} et {{HTMLElement("iframe")}}. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>1</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">Valeur par défaut</th> - <td>Si cette directive est absente, l'agent utilisateur consultera la directive {{CSP("child-src")}}, qui a pour valeur par défaut celle de la directive {{CSP("default-src")}}</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>1</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">Valeur par défaut</th> + <td> + Si cette directive est absente, l'agent utilisateur consultera la + directive {{CSP("child-src")}}, qui a pour valeur par défaut + celle de la directive {{CSP("default-src")}} + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: frame-src <source>; -Content-Security-Policy: frame-src <source> <source>; -</pre> + Content-Security-Policy: frame-src <source>; + Content-Security-Policy: frame-src <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre class="brush: bash">Content-Security-Policy: frame-src https://example.com/</pre> +```bash +Content-Security-Policy: frame-src https://example.com/ +``` -<p>Cet élément {{HTMLElement("iframe")}} est bloqué et ne se chargera pas :</p> +Cet élément {{HTMLElement("iframe")}} est bloqué et ne se chargera pas : -<pre class="brush: html"><iframe src="https://not-example.com/"></iframe></pre> +```html +<iframe src="https://not-example.com/"></iframe> +``` -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#directive-frame-src", "frame-src")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Réappréciation de <code>frame-src</code>.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-frame-src", "frame-src")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Dépréciation de <code>frame-src</code>.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| -------------------------------------------------------------------------------- | ---------------------------- | ------------------------------ | +| {{specName("CSP 3.0", "#directive-frame-src", "frame-src")}} | {{Spec2('CSP 3.0')}} | Réappréciation de `frame-src`. | +| {{specName("CSP 1.1", "#directive-frame-src", "frame-src")}} | {{Spec2('CSP 1.1')}} | Dépréciation de `frame-src`. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.frame-src")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.frame-src")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTMLElement("frame")}} and {{HTMLElement("iframe")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTMLElement("frame")}} and {{HTMLElement("iframe")}} diff --git a/files/fr/web/http/headers/content-security-policy/img-src/index.md b/files/fr/web/http/headers/content-security-policy/img-src/index.md index cbaf0a5798..a45faa33e4 100644 --- a/files/fr/web/http/headers/content-security-policy/img-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/img-src/index.md @@ -14,82 +14,69 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/img-src --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} <code><strong>img-src</strong></code> sépcifie les sources valides d'images et de favicons.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} **`img-src`** sépcifie les sources valides d'images et de favicons. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>1</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Oui, si cette directive est absente, l'agent utilisateur consultera la directive <code>default-src</code></td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>1</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive <code>default-src</code> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: img-src <source>; -Content-Security-Policy: img-src <source> <source>; -</pre> + Content-Security-Policy: img-src <source>; + Content-Security-Policy: img-src <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre class="brush: bash">Content-Security-Policy: img-src https://example.com/</pre> +```bash +Content-Security-Policy: img-src https://example.com/ +``` -<p>Cet élément {{HTMLElement("img")}} est bloqué et ne se chargera pas :</p> +Cet élément {{HTMLElement("img")}} est bloqué et ne se chargera pas : -<pre class="brush: html"><img src="https://not-example.com/foo.jpg" alt="example picture"></pre> +```html +<img src="https://not-example.com/foo.jpg" alt="example picture"> +``` -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#directive-img-src", "img-src")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-img-src", "img-src")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| ---------------------------------------------------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-img-src", "img-src")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-img-src", "img-src")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.img-src")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.img-src")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTMLElement("img")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTMLElement("img")}} diff --git a/files/fr/web/http/headers/content-security-policy/index.md b/files/fr/web/http/headers/content-security-policy/index.md index 2cd4912372..eda9f0ff19 100644 --- a/files/fr/web/http/headers/content-security-policy/index.md +++ b/files/fr/web/http/headers/content-security-policy/index.md @@ -9,246 +9,187 @@ tags: - en-tête translation_of: Web/HTTP/Headers/Content-Security-Policy --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête de réponse HTTP <strong><code>Content-Security-Policy</code></strong> permet aux administrateurs d'un site web de contrôler les ressources que l'agent utilisateur est autorisé à charger pour une page donnée. Bien qu'il y ait quelques exceptions, ces règles impliquent la plupart du temps de définir les origines du serveur et les points d'accès pour les scripts. Cet en-tête aide à se protéger contre les attaques de <em>cross-site scripting</em> ({{Glossary("XSS")}}).</p> +L'en-tête de réponse HTTP **`Content-Security-Policy`** permet aux administrateurs d'un site web de contrôler les ressources que l'agent utilisateur est autorisé à charger pour une page donnée. Bien qu'il y ait quelques exceptions, ces règles impliquent la plupart du temps de définir les origines du serveur et les points d'accès pour les scripts. Cet en-tête aide à se protéger contre les attaques de _cross-site scripting_ ({{Glossary("XSS")}}). -<p>Pour plus d'informations, voir cet article sur <a href="/fr/docs/Web/HTTP/CSP"><em>Content Security Policy</em> (CSP)</a>.</p> +Pour plus d'informations, voir cet article sur [_Content Security Policy_ (CSP)](/fr/docs/Web/HTTP/CSP). <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>En-tête de réponse</td> - </tr> - <tr> - <th scope="row">Nom d'en-tête interdit</th> - <td>Non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>En-tête de réponse</td> + </tr> + <tr> + <th scope="row">Nom d'en-tête interdit</th> + <td>Non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> - -<pre class="syntaxbox">Content-Security-Policy: <policy-directive>; <policy-directive> -</pre> - -<h2 id="Directives">Directives</h2> - -<h3 id="Directives_de_récupération_fetch">Directives de récupération (<em>fetch</em>)</h3> - -<p>Les directives de récupération (ou <em>fetch directives</em> en anglais) contrôlent les emplacements à partir desquels certains types de ressource peuvent être chargés.</p> - -<dl> - <dt>{{CSP("child-src")}}</dt> - <dd>Définit les sources valides pour les <a href="/fr/docs/Web/API/Web_Workers_API">web workers</a> et les éléments qui représentent des contextes de navigation imbriqués tels que {{HTMLElement("frame")}} et {{HTMLElement("iframe")}}.</dd> -</dl> - -<div class="warning"> - <p><strong>Attention :</strong>Plutôt que la directive <strong><code>child-src</code></strong>, si vous souhaitez réguler les contextes de navigation imbriqués et les workers séparément, vous pouvez utiliser respectivement les directives {{CSP("frame-src")}} et {{CSP("worker-src")}}.</p> -</div> - -<dl> - <dt>{{CSP("connect-src")}}</dt> - <dd>Restreint les URL qui peuvent être chargées via des scripts.</dd> - <dt>{{CSP("default-src")}}</dt> - <dd>Représente la valeur par défaut des directives de récupération qui ne sont pas définies explicitement.</dd> - <dt>{{CSP("font-src")}}</dt> - <dd>Définit les sources valides pour les polices de caractères chargées depuis {{cssxref("@font-face")}}.</dd> - <dt>{{CSP("frame-src")}}</dt> - <dd>Définit les sources valides pour les éléments qui représentent des contextes de navigation imbriqués, tels que {{HTMLElement("frame")}} et {{HTMLElement("iframe")}}.</dd> - <dt>{{CSP("img-src")}}</dt> - <dd>Définit les sources valides pour les images et les favicons.</dd> - <dt>{{CSP("manifest-src")}}</dt> - <dd>Définit les sources valides pour les fichiers de manifeste d'application.</dd> - <dt>{{CSP("media-src")}}</dt> - <dd>Définit les sources valides pour les ressources média des éléments {{HTMLElement("audio")}} et {{HTMLElement("video")}}.</dd> - <dt>{{CSP("object-src")}}</dt> - <dd>Définit les sources valides pour les ressources des éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}}.</dd> -</dl> - -<div class="note"> -<p><strong>Note :</strong> Les éléments contrôlés pa ar <code>object-src</code> sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité <code>sandbox</code> et <code>allow</code> pour <code><iframe></code>). De ce fait, il est <strong>recommandé</strong> de restreindre cette directive, c'est-à-dire la définir explicitement à <code>object-src 'none'</code> dans la mesure du possible.</p> -</div> - -<dl> - <dt>{{CSP("prefetch-src")}}</dt> - <dd>Définit .</dd> - <dt>{{CSP("script-src")}}</dt> - <dd>Définit les sources valides pour les fichiers JavaScript.</dd> - <dt>{{CSP("script-src-elem")}}{{experimental_inline}}</dt> - <dd>Définit les sources valides de code JavaScript chargé avec l'élément {{HTMLElement("script")}}.</dd> - <dt>{{CSP("script-src-attr")}}{{experimental_inline}}</dt> - <dd>Définit les sources valides de JavaScript pour les écouteurs d'évènements par les attributs <code>on<eventName></code>.</dd> - <dt>{{CSP("style-src")}}</dt> - <dd>Définit les sources valides pour les feuilles de styles.</dd> - <dt>{{CSP("style-src-elem")}}{{experimental_inline}}</dt> - <dd>Définit les sources valides pour les feuilles de styles définies avec l'élément {{HTMLElement("style")}} ou chargées avec l'élément {{HTMLElement("link")}} ayant l'attribut <code>rel="stylesheet"</code>.</dd> - <dt>{{CSP("style-src-attr")}}{{experimental_inline}}</dt> - <dd>Définit les sources valides pour les feuilles de styles embarquées appliquées à des éléments individuels du DOM par l'attribut <code>style</code>.</dd> - <dt>{{CSP("worker-src")}}</dt> - <dd>Définit les sources valides pour les scripts des {{domxref("Worker")}}, {{domxref("SharedWorker")}} et {{domxref("ServiceWorker")}}.</dd> -</dl> +## Syntaxe + + Content-Security-Policy: <policy-directive>; <policy-directive> + +## Directives -<h3 id="Directives_de_document">Directives de document</h3> +### Directives de récupération (_fetch_) -<p>Les directives de document permettent de paramétrer les propriétés d'un document ou d'un environnement pour <a href="/fr/docs/Web/API/Web_Workers_API">un <em>web worker</em></a> auquel une règle de sécurité s'applique.</p> +Les directives de récupération (ou _fetch directives_ en anglais) contrôlent les emplacements à partir desquels certains types de ressource peuvent être chargés. -<dl> - <dt>{{CSP("base-uri")}}</dt> - <dd>Restreint les URL qui peuvent être utilisées au sein de l'élément {{HTMLElement("base")}} d'un document.</dd> - <dt>{{CSP("plugin-types")}}</dt> - <dd>Restreint le type de plugin qui peut être intégré dans un document en limitant le type de ressource qui peut être chargé.</dd> - <dt>{{CSP("sandbox")}}</dt> - <dd>Active un bac-à-sable (<em>sandbox</em>) pour la ressource visée. Cela fonctionne de façon analogue à l'attribut {{htmlattrxref("sandbox", "iframe")}} de {{HTMLElement("iframe")}}.</dd> -</dl> +- {{CSP("child-src")}} + - : Définit les sources valides pour les [web workers](/fr/docs/Web/API/Web_Workers_API) et les éléments qui représentent des contextes de navigation imbriqués tels que {{HTMLElement("frame")}} et {{HTMLElement("iframe")}}. -<h3 id="Directives_de_navigation">Directives de navigation</h3> +> **Attention :**Plutôt que la directive **`child-src`**, si vous souhaitez réguler les contextes de navigation imbriqués et les workers séparément, vous pouvez utiliser respectivement les directives {{CSP("frame-src")}} et {{CSP("worker-src")}}. -<p>Les directives de navigation permettent par exemple de paramétrer les emplacements vers lesquels l'utilisateur peut naviguer ou envoyer un formulaire.</p> +- {{CSP("connect-src")}} + - : Restreint les URL qui peuvent être chargées via des scripts. +- {{CSP("default-src")}} + - : Représente la valeur par défaut des directives de récupération qui ne sont pas définies explicitement. +- {{CSP("font-src")}} + - : Définit les sources valides pour les polices de caractères chargées depuis {{cssxref("@font-face")}}. +- {{CSP("frame-src")}} + - : Définit les sources valides pour les éléments qui représentent des contextes de navigation imbriqués, tels que {{HTMLElement("frame")}} et {{HTMLElement("iframe")}}. +- {{CSP("img-src")}} + - : Définit les sources valides pour les images et les favicons. +- {{CSP("manifest-src")}} + - : Définit les sources valides pour les fichiers de manifeste d'application. +- {{CSP("media-src")}} + - : Définit les sources valides pour les ressources média des éléments {{HTMLElement("audio")}} et {{HTMLElement("video")}}. +- {{CSP("object-src")}} + - : Définit les sources valides pour les ressources des éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}}. -<dl> - <dt>{{CSP("form-action")}}</dt> - <dd>Restreint les URL qui peuvent être utilisées comme cibles pour envoyer des formulaires depuis un contexte donné.</dd> - <dt>{{CSP("frame-ancestors")}}</dt> - <dd>Définit les parent valides qui peuvent intégrer une page grâce aux éléments {{HTMLElement("frame")}}, {{HTMLElement("iframe")}}, {{HTMLElement("object")}}, {{HTMLElement("embed")}}, ou {{HTMLElement("applet")}}.</dd> - <dt>{{CSP("navigate-to")}}{{experimental_inline}}</dt> - <dd>Restreint les URL vers lesquelles on peut naviguer depuis un document, quel que soit le moyen de navigation (un lien, un formulaire, <code>window.location</code>, <code>window.open</code>, etc.)</dd> -</dl> - -<h3 id="Directives_de_rapport">Directives de rapport</h3> - -<p>Les directives de rapport permettent de contrôler ce qui se passe lorsqu'une règle CSP est violée. Voir également l'en-tête {{HTTPHeader("Content-Security-Policy-Report-Only")}}.</p> - -<dl> - <dt>{{CSP("report-uri")}}{{deprecated_inline}}</dt> - <dd>Indique à l'agent utilisateur de rapporter les tentatives d'enfreintes du CSP. Un rapport d'enfreinte est un ensemble de documents JSON envoyés via une requête HTTP <code>POST</code> à l'URI indiquée.</dd> -</dl> - -<div class="warning"> -<p><strong>Attention :</strong> Bien que la directive <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a> est prévue remplacer la directive <code><strong>report-uri</strong></code> maintenant dépréciée, <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a> n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a>, vous pouvez spécifier les deux directives <code><strong>report-uri</strong></code> et <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a>:</p> - -<pre class="syntaxbox">Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname</pre> - -<p>Dans les navigateurs qui supportent <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a>, la directive <code><strong>report-uri</strong></code> sera ignorée.</p> -</div> - -<dl> - <dt>{{CSP("report-to")}}{{experimental_inline}}</dt> - <dd>Déclenche un évènement <code>SecurityPolicyViolationEvent</code>.</dd> -</dl> - -<h3 id="Autres_directives">Autres directives</h3> - -<dl> - <dt>{{CSP("block-all-mixed-content")}}</dt> - <dd>Empêche le chargement de toute ressource via HTTP lorsque la page est chargée avec HTTPS.</dd> - <dt>{{CSP("referrer")}} {{deprecated_inline}}{{non-standard_inline}}</dt> - <dd>{{HTTPHeader("Referrer-Policy")}} doit être utilisé à la place. Était utilisée pour indiquer l'en-tête référent (sic) pour les liens sortants.</dd> - <dt>{{CSP("require-sri-for")}}{{experimental_inline}}</dt> - <dd>Oblige à utiliser le contrôle d'intégrité des sous-ressources ({{Glossary("SRI")}}) pour les scripts ou les styles de la page.</dd> - <dt>{{CSP("trusted-types")}}{{experimental_inline}}</dt> - <dd>Utilisée pour spécifier une liste de permissions de règles de <a href="https://w3c.github.io/webappsec-trusted-types/dist/spec/">Trusted Types</a>. Les Trusted Types permettent à des applications de verrouiller les puits d'injection XSS dans le DOM pour n'accepter que des valeurs typées et non falsifiables plutôt que des chaines de caractères.</dd> - <dt>{{CSP("upgrade-insecure-requests")}}</dt> - <dd>Indique à l'agent utilisateur de considérer toutes les URL non-sécurisées d'un site (celles servies via HTTP) comme si elles avaient été remplacées par des URL sécurisées. Cette directive est destinée aux sites web qui ont de nombreuses URL historiques non-sécurisées et qui doivent être réécrites.</dd> -</dl> - -<h2 id="Utilisation_du_CSP_dans_les_web_workers">Utilisation du <em>CSP</em> dans les <em>web workers</em></h2> - -<p>En général, les <em>web workers</em> ne sont pas gérés par les règles de sécurité du contenu du document (ou du <em>worker</em> parent) qui les a créé. Pour indiquer une règle de sécurité du contenu pour le <em>worker</em>, on utilisera un en-tête de réponse <code>Content-Security-Policy</code> pour la requête qui a demandé le script du <em>worker</em>.</p> - -<p>Il y a une exception à cette règle lorsque l'origine du script d'un <em>worker</em> est un identifiant global unique (par exemple si l'URL utilise un schéma de donnée ou un blob). Dans ce cas, le <em>worker</em> hérite de la règle de sécurité du contenu depuis le document ou le <em>worker</em> qui l'a créé.</p> - -<h2 id="Gérer_plusieurs_politiques_de_sécurité">Gérer plusieurs politiques de sécurité</h2> - -<p>Le CSP permet d'indiquer plusieurs règles pour une même ressource avec l'en-tête <code>Content-Security-Policy</code>, l'en-tête {{HTTPHeader("Content-Security-Policy-Report-Only")}} et l'élément {{HTMLElement("meta")}}.</p> - -<p>L'en-tête <code>Content-Security-Policy</code> peut être utilisé plus d'une fois comme illustré ci-après. On notera la directive {{CSP("connect-src")}} utilisée ici. Bien que la deuxième règle autorise la connexion, la première contient <code>connect-src 'none'</code>. L'ajout de règles supplémentaires permet uniquement d'augmenter les protections. Les niveaux les plus stricts pour chaque règle sont alors utilisés. Dans l'exemple qui suit, cela signifie que la directive <code>connect-src 'none'</code> sera respectée.</p> - -<pre>Content-Security-Policy: default-src 'self' http://example.com; - connect-src 'none'; -Content-Security-Policy: connect-src http://example.com/; - script-src http://example.com/</pre> - -<h2 id="Exemples">Exemples</h2> - -<h3 id="Exemple_1">Exemple 1</h3> - -<p>Dans cet exemple, on désactive les scripts écrits à même le document (<em>inline</em>), les opérations <code>eval()</code> et les ressources (images, polices, scripts, etc.) peuvent uniquement être chargées via HTTPS :</p> - -<pre>// en-tête HTTP -Content-Security-Policy: default-src https: - -// version avec la balise HTML meta -<meta http-equiv="Content-Security-Policy" content="default-src https:"> -</pre> - -<h3 id="Exemple_2">Exemple 2</h3> - -<p>Cet exemple est plutôt adapté pour un site historique qui utilise de nombreux scripts écrits dans les documents mais pour lequel on veut s'assurer que les ressources sont chargées via HTTPS et pour lequel on veut désactiver les plugins :</p> - -<pre>Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'</pre> - -<h3 id="Exemple_3">Exemple 3</h3> - -<p>On ne met pas en place la règle de sécurité mais on récolte les enfreintes qui se seraient produites pour cette règle :</p> - -<pre>Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/</pre> - -<p>Pour plus d'exemples, consulter <a href="https://wiki.mozilla.org/Security/Guidelines/Web_Security#Examples_5">les recommandations de Mozilla pour la sécurité web</a>.</p> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">État</th> - <th scope="col">Commentaires</th> - </tr> - <tr> - <td>{{specName("CSP 3.0")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Ajout de <code>manifest-src</code>, <code>navigation-to</code>, <code>report-to</code>, <code>strict-dynamic</code>, <code>worker-src</code>. <code>frame-src</code> n'est plus déprécié. <code>report-uri</code> est déprécié au profit de <code>report-to</code>.</td> - </tr> - <tr> - <td>{{specName("Mixed Content")}}</td> - <td>{{Spec2("Mixed Content")}}</td> - <td>Ajout de <code>block-all-mixed-content</code>.</td> - </tr> - <tr> - <td>{{specName("Subresource Integrity")}}</td> - <td>{{Spec2("Subresource Integrity")}}</td> - <td>Ajout de <code>require-sri-for</code>.</td> - </tr> - <tr> - <td>{{specName("Upgrade Insecure Requests")}}</td> - <td>{{Spec2("Upgrade Insecure Requests")}}</td> - <td>Ajout de <code>upgrade-insecure-requests</code>.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1")}}</td> - <td>{{Spec2("CSP 1.1")}}</td> - <td>Ajout de <code>base-uri</code>, <code>child-src</code>, <code>form-action</code>, <code>frame-ancestors</code>, <code>plugin-types</code>, <code>referrer</code>, <code>reflected-xss</code> et <code>report-uri</code>. Dépréciation de <code>frame-src</code>.</td> - </tr> - <tr> - <td>{{specName("CSP 1.0")}}</td> - <td>{{Spec2("CSP 1.0")}}</td> - <td>Définition de <code>connect-src</code>, <code>default-src</code>, <code>font-src</code>, <code>frame-src</code>, <code>img-src</code>, <code>media-src</code>, <code>object-src</code>, report-uri, <code>sandbox</code>, <code>script-src</code> et <code>style-src</code>.</td> - </tr> - </tbody> -</table> +> **Note :** Les éléments contrôlés pa ar `object-src` sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité `sandbox` et `allow` pour `<iframe>`). De ce fait, il est **recommandé** de restreindre cette directive, c'est-à-dire la définir explicitement à `object-src 'none'` dans la mesure du possible. + +- {{CSP("prefetch-src")}} + - : Définit . +- {{CSP("script-src")}} + - : Définit les sources valides pour les fichiers JavaScript. +- {{CSP("script-src-elem")}}{{experimental_inline}} + - : Définit les sources valides de code JavaScript chargé avec l'élément {{HTMLElement("script")}}. +- {{CSP("script-src-attr")}}{{experimental_inline}} + - : Définit les sources valides de JavaScript pour les écouteurs d'évènements par les attributs `on<eventName>`. +- {{CSP("style-src")}} + - : Définit les sources valides pour les feuilles de styles. +- {{CSP("style-src-elem")}}{{experimental_inline}} + - : Définit les sources valides pour les feuilles de styles définies avec l'élément {{HTMLElement("style")}} ou chargées avec l'élément {{HTMLElement("link")}} ayant l'attribut `rel="stylesheet"`. +- {{CSP("style-src-attr")}}{{experimental_inline}} + - : Définit les sources valides pour les feuilles de styles embarquées appliquées à des éléments individuels du DOM par l'attribut `style`. +- {{CSP("worker-src")}} + - : Définit les sources valides pour les scripts des {{domxref("Worker")}}, {{domxref("SharedWorker")}} et {{domxref("ServiceWorker")}}. + +### Directives de document + +Les directives de document permettent de paramétrer les propriétés d'un document ou d'un environnement pour [un _web worker_](/fr/docs/Web/API/Web_Workers_API) auquel une règle de sécurité s'applique. + +- {{CSP("base-uri")}} + - : Restreint les URL qui peuvent être utilisées au sein de l'élément {{HTMLElement("base")}} d'un document. +- {{CSP("plugin-types")}} + - : Restreint le type de plugin qui peut être intégré dans un document en limitant le type de ressource qui peut être chargé. +- {{CSP("sandbox")}} + - : Active un bac-à-sable (_sandbox_) pour la ressource visée. Cela fonctionne de façon analogue à l'attribut {{htmlattrxref("sandbox", "iframe")}} de {{HTMLElement("iframe")}}. + +### Directives de navigation + +Les directives de navigation permettent par exemple de paramétrer les emplacements vers lesquels l'utilisateur peut naviguer ou envoyer un formulaire. + +- {{CSP("form-action")}} + - : Restreint les URL qui peuvent être utilisées comme cibles pour envoyer des formulaires depuis un contexte donné. +- {{CSP("frame-ancestors")}} + - : Définit les parent valides qui peuvent intégrer une page grâce aux éléments {{HTMLElement("frame")}}, {{HTMLElement("iframe")}}, {{HTMLElement("object")}}, {{HTMLElement("embed")}}, ou {{HTMLElement("applet")}}. +- {{CSP("navigate-to")}}{{experimental_inline}} + - : Restreint les URL vers lesquelles on peut naviguer depuis un document, quel que soit le moyen de navigation (un lien, un formulaire, `window.location`, `window.open`, etc.) + +### Directives de rapport + +Les directives de rapport permettent de contrôler ce qui se passe lorsqu'une règle CSP est violée. Voir également l'en-tête {{HTTPHeader("Content-Security-Policy-Report-Only")}}. + +- {{CSP("report-uri")}}{{deprecated_inline}} + - : Indique à l'agent utilisateur de rapporter les tentatives d'enfreintes du CSP. Un rapport d'enfreinte est un ensemble de documents JSON envoyés via une requête HTTP `POST` à l'URI indiquée. + +> **Attention :** Bien que la directive [`report-to`](/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to "La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To.") est prévue remplacer la directive **`report-uri`** maintenant dépréciée, [`report-to`](/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to "La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To.") n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront [`report-to`](/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to "La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."), vous pouvez spécifier les deux directives **`report-uri`** et [`report-to`](/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to "La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."): +> +> Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname +> +> Dans les navigateurs qui supportent [`report-to`](/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to "La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."), la directive **`report-uri`** sera ignorée. + +- {{CSP("report-to")}}{{experimental_inline}} + - : Déclenche un évènement `SecurityPolicyViolationEvent`. + +### Autres directives + +- {{CSP("block-all-mixed-content")}} + - : Empêche le chargement de toute ressource via HTTP lorsque la page est chargée avec HTTPS. +- {{CSP("referrer")}} {{deprecated_inline}}{{non-standard_inline}} + - : {{HTTPHeader("Referrer-Policy")}} doit être utilisé à la place. Était utilisée pour indiquer l'en-tête référent (sic) pour les liens sortants. +- {{CSP("require-sri-for")}}{{experimental_inline}} + - : Oblige à utiliser le contrôle d'intégrité des sous-ressources ({{Glossary("SRI")}}) pour les scripts ou les styles de la page. +- {{CSP("trusted-types")}}{{experimental_inline}} + - : Utilisée pour spécifier une liste de permissions de règles de [Trusted Types](https://w3c.github.io/webappsec-trusted-types/dist/spec/). Les Trusted Types permettent à des applications de verrouiller les puits d'injection XSS dans le DOM pour n'accepter que des valeurs typées et non falsifiables plutôt que des chaines de caractères. +- {{CSP("upgrade-insecure-requests")}} + - : Indique à l'agent utilisateur de considérer toutes les URL non-sécurisées d'un site (celles servies via HTTP) comme si elles avaient été remplacées par des URL sécurisées. Cette directive est destinée aux sites web qui ont de nombreuses URL historiques non-sécurisées et qui doivent être réécrites. + +## Utilisation du _CSP_ dans les _web workers_ + +En général, les _web workers_ ne sont pas gérés par les règles de sécurité du contenu du document (ou du _worker_ parent) qui les a créé. Pour indiquer une règle de sécurité du contenu pour le _worker_, on utilisera un en-tête de réponse `Content-Security-Policy` pour la requête qui a demandé le script du _worker_. + +Il y a une exception à cette règle lorsque l'origine du script d'un _worker_ est un identifiant global unique (par exemple si l'URL utilise un schéma de donnée ou un blob). Dans ce cas, le _worker_ hérite de la règle de sécurité du contenu depuis le document ou le _worker_ qui l'a créé. + +## Gérer plusieurs politiques de sécurité + +Le CSP permet d'indiquer plusieurs règles pour une même ressource avec l'en-tête `Content-Security-Policy`, l'en-tête {{HTTPHeader("Content-Security-Policy-Report-Only")}} et l'élément {{HTMLElement("meta")}}. + +L'en-tête `Content-Security-Policy` peut être utilisé plus d'une fois comme illustré ci-après. On notera la directive {{CSP("connect-src")}} utilisée ici. Bien que la deuxième règle autorise la connexion, la première contient `connect-src 'none'`. L'ajout de règles supplémentaires permet uniquement d'augmenter les protections. Les niveaux les plus stricts pour chaque règle sont alors utilisés. Dans l'exemple qui suit, cela signifie que la directive `connect-src 'none'` sera respectée. + + Content-Security-Policy: default-src 'self' http://example.com; + connect-src 'none'; + Content-Security-Policy: connect-src http://example.com/; + script-src http://example.com/ + +## Exemples + +### Exemple 1 + +Dans cet exemple, on désactive les scripts écrits à même le document (_inline_), les opérations `eval()` et les ressources (images, polices, scripts, etc.) peuvent uniquement être chargées via HTTPS : + + // en-tête HTTP + Content-Security-Policy: default-src https: + + // version avec la balise HTML meta + <meta http-equiv="Content-Security-Policy" content="default-src https:"> + +### Exemple 2 + +Cet exemple est plutôt adapté pour un site historique qui utilise de nombreux scripts écrits dans les documents mais pour lequel on veut s'assurer que les ressources sont chargées via HTTPS et pour lequel on veut désactiver les plugins : + + Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none' + +### Exemple 3 + +On ne met pas en place la règle de sécurité mais on récolte les enfreintes qui se seraient produites pour cette règle : + + Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/ + +Pour plus d'exemples, consulter [les recommandations de Mozilla pour la sécurité web](https://wiki.mozilla.org/Security/Guidelines/Web_Security#Examples_5). + +## Spécifications + +| Spécification | État | Commentaires | +| -------------------------------------------------------- | ---------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | +| {{specName("CSP 3.0")}} | {{Spec2('CSP 3.0')}} | Ajout de `manifest-src`, `navigation-to`, `report-to`, `strict-dynamic`, `worker-src`. `frame-src` n'est plus déprécié. `report-uri` est déprécié au profit de `report-to`. | +| {{specName("Mixed Content")}} | {{Spec2("Mixed Content")}} | Ajout de `block-all-mixed-content`. | +| {{specName("Subresource Integrity")}} | {{Spec2("Subresource Integrity")}} | Ajout de `require-sri-for`. | +| {{specName("Upgrade Insecure Requests")}} | {{Spec2("Upgrade Insecure Requests")}} | Ajout de `upgrade-insecure-requests`. | +| {{specName("CSP 1.1")}} | {{Spec2("CSP 1.1")}} | Ajout de `base-uri`, `child-src`, `form-action`, `frame-ancestors`, `plugin-types`, `referrer`, `reflected-xss` et `report-uri`. Dépréciation de `frame-src`. | +| {{specName("CSP 1.0")}} | {{Spec2("CSP 1.0")}} | Définition de `connect-src`, `default-src`, `font-src`, `frame-src`, `img-src`, `media-src`, `object-src`, report-uri, `sandbox`, `script-src` et `style-src`. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy-Report-Only")}}</li> - <li><a href="/fr/Add-ons/WebExtensions/Content_Security_Policy">La sécurité du contenu pour les WebExtensions</a></li> - <li> - <p><a href="/fr/docs/Outils/Barre_de_développement/Display_security_and_privacy_policies">Les sécurités pour l'affichage et la confidentialité dans les outils de développement de Firefox</a></p> - </li> -</ul> +- {{HTTPHeader("Content-Security-Policy-Report-Only")}} +- [La sécurité du contenu pour les WebExtensions](/fr/Add-ons/WebExtensions/Content_Security_Policy) +- [Les sécurités pour l'affichage et la confidentialité dans les outils de développement de Firefox](/fr/docs/Outils/Barre_de_développement/Display_security_and_privacy_policies) diff --git a/files/fr/web/http/headers/content-security-policy/manifest-src/index.md b/files/fr/web/http/headers/content-security-policy/manifest-src/index.md index a99cf41e12..f8ce19a5ab 100644 --- a/files/fr/web/http/headers/content-security-policy/manifest-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/manifest-src/index.md @@ -14,78 +14,69 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/manifest-src --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} <code><strong>manifest-src</strong></code> spécifie quel <a href="/en-US/docs/Web/Manifest">manifeste</a> peut être appliqué à la ressource.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} **`manifest-src`** spécifie quel [manifeste](/en-US/docs/Web/Manifest) peut être appliqué à la ressource. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>3</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Oui, si cette directive est absente, l'agent utilisateur consultera la directive <code>default-src</code></td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>3</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive <code>default-src</code> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: manifest-src <source>; -Content-Security-Policy: manifest-src <source> <source>; -</pre> + Content-Security-Policy: manifest-src <source>; + Content-Security-Policy: manifest-src <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Violation_cases">Violation cases</h3> +### Violation cases -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre class="brush: bash">Content-Security-Policy: manifest-src https://example.com/</pre> +```bash +Content-Security-Policy: manifest-src https://example.com/ +``` -<p>Cet élément {{HTMLElement("link")}} sera bloqué et ne se chargera pas :</p> +Cet élément {{HTMLElement("link")}} sera bloqué et ne se chargera pas : -<pre class="brush: html"><link rel="manifest" href="https://not-example.com/manifest"></pre> +```html +<link rel="manifest" href="https://not-example.com/manifest"> +``` -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#directive-manifest-src", "manifest-src")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| ---------------------------------------------------------------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-manifest-src", "manifest-src")}} | {{Spec2('CSP 3.0')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.manifest-src")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.manifest-src")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li><a href="/en-US/docs/Web/Manifest">Web app manifest</a></li> - <li>{{HTMLElement("link")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- [Web app manifest](/en-US/docs/Web/Manifest) +- {{HTMLElement("link")}} diff --git a/files/fr/web/http/headers/content-security-policy/media-src/index.md b/files/fr/web/http/headers/content-security-policy/media-src/index.md index 9efb6aef2d..6f8bae8ada 100644 --- a/files/fr/web/http/headers/content-security-policy/media-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/media-src/index.md @@ -14,86 +14,73 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/media-src --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>media-src</strong></code> spécifie les sources valides pour charger des médias en utilisant des éléments tels que {{HTMLElement("audio")}} et {{HTMLElement("video")}}.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`media-src`** spécifie les sources valides pour charger des médias en utilisant des éléments tels que {{HTMLElement("audio")}} et {{HTMLElement("video")}}. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>1</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Oui, si cette directive est absente, l'agent utilisateur consultera la directive <code>default-src</code></td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>1</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive <code>default-src</code> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: media-src <source>; -Content-Security-Policy: media-src <source> <source>; -</pre> + Content-Security-Policy: media-src <source>; + Content-Security-Policy: media-src <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre class="brush: bash">Content-Security-Policy: media-src https://example.com/</pre> +```bash +Content-Security-Policy: media-src https://example.com/ +``` -<p>Ces éléments {{HTMLElement("audio")}}, {{HTMLElement("video")}} et {{HTMLElement("track")}} seront bloqués et ne se chargeront pas :</p> +Ces éléments {{HTMLElement("audio")}}, {{HTMLElement("video")}} et {{HTMLElement("track")}} seront bloqués et ne se chargeront pas : -<pre class="brush: html"><audio src="https://not-example.com/audio"></audio> +```html +<audio src="https://not-example.com/audio"></audio> -<video src="https://not-example.com/video"> - <track kind="subtitles" src="https://not-example.com/subtitles"> -</video></pre> +<video src="https://not-example.com/video"> + <track kind="subtitles" src="https://not-example.com/subtitles"> +</video> +``` -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#directive-media-src", "media-src")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-media-src", "media-src")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| -------------------------------------------------------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-media-src", "media-src")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-media-src", "media-src")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.media-src")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.media-src")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTMLElement("audio")}}, {{HTMLElement("video")}} and {{HTMLElement("track")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTMLElement("audio")}}, {{HTMLElement("video")}} and {{HTMLElement("track")}} diff --git a/files/fr/web/http/headers/content-security-policy/navigate-to/index.md b/files/fr/web/http/headers/content-security-policy/navigate-to/index.md index 2a715438a3..06f367d748 100644 --- a/files/fr/web/http/headers/content-security-policy/navigate-to/index.md +++ b/files/fr/web/http/headers/content-security-policy/navigate-to/index.md @@ -13,90 +13,76 @@ tags: - navigate-to translation_of: Web/HTTP/Headers/Content-Security-Policy/navigate-to --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>navigate</strong></code><strong><code>-to</code></strong> restreint les URL vers lesquelles un document peut initier une navigation de quelque manière que ce soit, dont {{HTMLElement("form")}} (si {{CSP("form-action")}} n'est pas spécifié), {{HTMLElement("a")}}, {{DOMxRef("window.location")}}, {{DOMxRef("window.open")}}, etc. Elle permet de renforcer les navigations que le document peut initier et <strong>non</strong> les adresses vers lesquelles ce document peut naviguer.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`navigate`\*\***`-to`** restreint les URL vers lesquelles un document peut initier une navigation de quelque manière que ce soit, dont {{HTMLElement("form")}} (si {{CSP("form-action")}} n'est pas spécifié), {{HTMLElement("a")}}, {{DOMxRef("window.location")}}, {{DOMxRef("window.open")}}, etc. Elle permet de renforcer les navigations que le document peut initier et **non\*\* les adresses vers lesquelles ce document peut naviguer. -<div class="note"> -<p><strong>Note :</strong> Si la directive {{CSP("form-action")}} est présente, la directive <code>navigate-to</code> ne sera pas appliquée sur la navigation par la soumission de formulaire.</p> -</div> +> **Note :** Si la directive {{CSP("form-action")}} est présente, la directive `navigate-to` ne sera pas appliquée sur la navigation par la soumission de formulaire. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>3</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Navigation directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Non, ne pas la définir autorise toutes les adresses.</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>3</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Navigation directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td>Non, ne pas la définir autorise toutes les adresses.</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être utilisées pour cette directive :</p> +Une ou plusieurs sources peuvent être utilisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: navigate-to <source>; -Content-Security-Policy: navigate-to <source> <source>; -</pre> + Content-Security-Policy: navigate-to <source>; + Content-Security-Policy: navigate-to <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Configuration_par_balise_<meta>">Configuration par balise <meta></h3> +### Configuration par balise \<meta> -<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="navigate-to 'none'"> -</pre> +```html +<meta http-equiv="Content-Security-Policy" content="navigate-to 'none'"> +``` -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>Utiliser l'élément {{HTMLElement("form")}} avec un attribut <code>action</code> défini à un script embarqué en JavaScript résultera en une violation de CSP :</p> +Utiliser l'élément {{HTMLElement("form")}} avec un attribut `action` défini à un script embarqué en JavaScript résultera en une violation de CSP : -<pre class="brush: html; example-bad"><meta http-equiv="Content-Security-Policy" content="navigate-to 'none'"> +```html example-bad +<meta http-equiv="Content-Security-Policy" content="navigate-to 'none'"> -<form action="javascript:alert('Foo')" id="form1" method="post"> - <input type="text" name="fieldName" value="fieldValue"> - <input type="submit" id="submit" value="submit"> -</form> -</pre> +<form action="javascript:alert('Foo')" id="form1" method="post"> + <input type="text" name="fieldName" value="fieldValue"> + <input type="submit" id="submit" value="submit"> +</form> +``` -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{specName("CSP 3.0", "#directive-navigate-to", "navigate-to")}}</td> - <td>{{Spec2("CSP 3.0")}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------------------ | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-navigate-to", "navigate-to")}} | {{Spec2("CSP 3.0")}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.navigate-to")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.navigate-to")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPheader("Content-Security-Policy")}}</li> - <li>{{CSP("form-action")}}</li> - <li>Attribut <code>href</code> {{HTMLElement("a")}}</li> - <li>{{HTMLElement("form")}}</li> - <li>{{DOMxRef("window.location")}}</li> - <li>{{DOMxRef("window.open")}}</li> -</ul> +- {{HTTPheader("Content-Security-Policy")}} +- {{CSP("form-action")}} +- Attribut `href` {{HTMLElement("a")}} +- {{HTMLElement("form")}} +- {{DOMxRef("window.location")}} +- {{DOMxRef("window.open")}} diff --git a/files/fr/web/http/headers/content-security-policy/object-src/index.md b/files/fr/web/http/headers/content-security-policy/object-src/index.md index 46cca9c2ee..4ca366f9a3 100644 --- a/files/fr/web/http/headers/content-security-policy/object-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/object-src/index.md @@ -14,91 +14,76 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/object-src --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} <code><strong>object-src</strong></code> spécifie les sources valides pour les éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}}.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} **`object-src`** spécifie les sources valides pour les éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}}. -<p>Pour définir des types autorisés pour les éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}}, voir la directive {{CSP("plugin-types")}}.</p> +Pour définir des types autorisés pour les éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}}, voir la directive {{CSP("plugin-types")}}. -<div class="notecard note"> - <p><strong>Note :</strong> Les éléments contrôlés par <code>object-src</code> sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité <code>sandbox</code> et <code>allow</code> pour <code><iframe></code>). De ce fait, il est <a href="https://csp.withgoogle.com/docs/strict-csp.html">recommandé</a> de restreindre cette directive, c'est-à-dire la définir explicitement à <code>object-src 'none'</code> dans la mesure du possible.</p> -</div> +> **Note :** Les éléments contrôlés par `object-src` sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité `sandbox` et `allow` pour `<iframe>`). De ce fait, il est [recommandé](https://csp.withgoogle.com/docs/strict-csp.html) de restreindre cette directive, c'est-à-dire la définir explicitement à `object-src 'none'` dans la mesure du possible. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>1</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Oui, si cette directive est absente, l'agent utilisateur consultera la directive <code>default-src</code></td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>1</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive <code>default-src</code> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: object-src <source>; -Content-Security-Policy: object-src <source> <source>; -</pre> + Content-Security-Policy: object-src <source>; + Content-Security-Policy: object-src <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre class="brush: bash">Content-Security-Policy: object-src https://example.com/</pre> +```bash +Content-Security-Policy: object-src https://example.com/ +``` -<p>Ces éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}} seront bloqués et ne se chargeront pas :</p> +Ces éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}} seront bloqués et ne se chargeront pas : -<pre class="brush: html"><embed src="https://not-example.com/flash"></embed> -<object data="https://not-example.com/plugin"></object> -<applet archive="https://not-example.com/java"></applet></pre> +```html +<embed src="https://not-example.com/flash"></embed> +<object data="https://not-example.com/plugin"></object> +<applet archive="https://not-example.com/java"></applet> +``` -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#directive-object-src", "object-src")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-object-src", "object-src")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------------------ | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-object-src", "object-src")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-object-src", "object-src")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.object-src")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.object-src")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTMLElement("object")}}, {{HTMLElement("embed")}}, and {{HTMLElement("applet")}}</li> - <li>{{CSP("plugin-types")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTMLElement("object")}}, {{HTMLElement("embed")}}, and {{HTMLElement("applet")}} +- {{CSP("plugin-types")}} diff --git a/files/fr/web/http/headers/content-security-policy/plugin-types/index.md b/files/fr/web/http/headers/content-security-policy/plugin-types/index.md index 188eccaf9e..a1d62a7075 100644 --- a/files/fr/web/http/headers/content-security-policy/plugin-types/index.md +++ b/files/fr/web/http/headers/content-security-policy/plugin-types/index.md @@ -14,106 +14,90 @@ tags: - Sécurité translation_of: Web/HTTP/Headers/Content-Security-Policy/plugin-types --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>plugin-types</strong></code> restreint l'ensemble des greffons pouvant être intégrés dans un document en limitant les types de ressources pouvant être chargées.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`plugin-types`** restreint l'ensemble des greffons pouvant être intégrés dans un document en limitant les types de ressources pouvant être chargées. -<p>L'instanciation d'éléments {{HTMLElement("embed")}}, {{HTMLElement("object")}} ou {{HTMLElement("applet")}} échouera si :</p> +L'instanciation d'éléments {{HTMLElement("embed")}}, {{HTMLElement("object")}} ou {{HTMLElement("applet")}} échouera si : -<ul> - <li>l'élément à charger ne déclarer pas de type MIME valide,</li> - <li>le type déclaré ne correspond pas à un des types spécifiés dans la directive <code>plugin-types</code>,</li> - <li>les ressources demandées ne correspondent pas au type déclaré.</li> -</ul> +- l'élément à charger ne déclarer pas de type MIME valide, +- le type déclaré ne correspond pas à un des types spécifiés dans la directive `plugin-types`, +- les ressources demandées ne correspondent pas au type déclaré. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>2</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Document directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Non, ne pas la définir autorise toutes les ressources</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>2</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Document directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td>Non, ne pas la définir autorise toutes les ressources</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Un ou plusieurs <a href="/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types">types MIME</a> peuvent être autorisées pour cette directive :</p> +Un ou plusieurs [types MIME](/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types) peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: plugin-types <type>/<subtype>; -Content-Security-Policy: plugin-types <type>/<subtype> <type>/<subtype>; -</pre> + Content-Security-Policy: plugin-types <type>/<subtype>; + Content-Security-Policy: plugin-types <type>/<subtype> <type>/<subtype>; -<dl> - <dt><type>/<subtype></dt> - <dd>Un <a href="/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types/Complete_list_of_MIME_types">type MIME</a> valide.</dd> -</dl> +- \<type>/\<subtype> + - : Un [type MIME](/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types/Complete_list_of_MIME_types) valide. -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Interdire_les_greffons">Interdire les greffons</h3> +### Interdire les greffons -<p>Pour intedire tous les greffons, la directive {{CSP("object-src")}} doit être définie à <code>'none'</code>. La directive <code>plugin-types</code> n'est utilisée que si vous autorisez au préalable les greffons avec <code>object-src</code>.</p> +Pour intedire tous les greffons, la directive {{CSP("object-src")}} doit être définie à `'none'`. La directive `plugin-types` n'est utilisée que si vous autorisez au préalable les greffons avec `object-src`. -<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="object-src 'none'"></pre> +```html +<meta http-equiv="Content-Security-Policy" content="object-src 'none'"> +``` -<h3 id="Autoriser_le_contenu_Flash">Autoriser le contenu Flash</h3> +### Autoriser le contenu Flash -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre class="brush: bash">Content-Security-Policy: plugin-types application/x-shockwave-flash</pre> +```bash +Content-Security-Policy: plugin-types application/x-shockwave-flash +``` -<p>Cet objet Flash sera autorisé et se chargera (dans la mesure où le navigateur gère Flash) :</p> +Cet objet Flash sera autorisé et se chargera (dans la mesure où le navigateur gère Flash) : -<pre class="brush: html"><object data="https://example.com/flash" type="application/x-shockwave-flash"></object></pre> +```html +<object data="https://example.com/flash" type="application/x-shockwave-flash"></object> +``` -<h3 id="Autoriser_les_applets_Java">Autoriser les applets Java</h3> +### Autoriser les applets Java -<p>Pour charger une {{HTMLElement("applet")}}, vous devez spécifier la valeur <code>application/x-java-applet</code> :</p> +Pour charger une {{HTMLElement("applet")}}, vous devez spécifier la valeur `application/x-java-applet` : -<pre class="brush: bash">Content-Security-Policy: plugin-types application/x-java-applet</pre> +```bash +Content-Security-Policy: plugin-types application/x-java-applet +``` -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#directive-plugin-types", "plugin-types")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-plugin-types", "plugin-types")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| ---------------------------------------------------------------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-plugin-types", "plugin-types")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-plugin-types", "plugin-types")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.plugin-types")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.plugin-types")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}: {{CSP("object-src")}}</li> - <li>{{HTMLElement("object")}}</li> - <li>{{HTMLElement("embed")}}</li> - <li>{{HTMLElement("applet")}}</li> - <li>{{HTTPHeader("X-Content-Type-Options")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}}: {{CSP("object-src")}} +- {{HTMLElement("object")}} +- {{HTMLElement("embed")}} +- {{HTMLElement("applet")}} +- {{HTTPHeader("X-Content-Type-Options")}} diff --git a/files/fr/web/http/headers/content-security-policy/prefetch-src/index.md b/files/fr/web/http/headers/content-security-policy/prefetch-src/index.md index 62abcf4068..c5469e19cf 100644 --- a/files/fr/web/http/headers/content-security-policy/prefetch-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/prefetch-src/index.md @@ -11,78 +11,64 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/prefetch-src --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>prefetch-src</strong></code> spécifie les ressources pouvant être préchargées ou préaffichées.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`prefetch-src`** spécifie les ressources pouvant être préchargées ou préaffichées. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>3</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Oui, si cette directive est absente, l'agent utilisateur consultera la directive <code>default-src</code></td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>3</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive <code>default-src</code> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: prefetch-src <source>; -Content-Security-Policy: prefetch-src <source> <source>; -</pre> + Content-Security-Policy: prefetch-src <source>; + Content-Security-Policy: prefetch-src <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("/fr/docs/Web/HTTP/Headers/Content-Security-Policy/default-src", "common_sources")}}</p> +{{page("/fr/docs/Web/HTTP/Headers/Content-Security-Policy/default-src", "common_sources")}} -<h2 id="Exemple">Exemple</h2> +## Exemple -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre>Content-Security-Policy: prefetch-src https://example.com/ -</pre> + Content-Security-Policy: prefetch-src https://example.com/ -<p>Les requêtes émises par ce code généreront des erreurs de réseau puisque les URL demandées ne correspondant pas à la liste de permissions de la directive <code>prefetch-src</code> :</p> +Les requêtes émises par ce code généreront des erreurs de réseau puisque les URL demandées ne correspondant pas à la liste de permissions de la directive `prefetch-src` : -<pre><link rel="prefetch" src="https://example.org/"></link> -<link rel="prerender" src="https://example.org/"></link></pre> + <link rel="prefetch" src="https://example.org/"></link> + <link rel="prerender" src="https://example.org/"></link> -<h2 id="Spécification">Spécification</h2> +## Spécification -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#prefetch-src", "prefetch-src")}}</td> - <td>{{Spec2("CSP 3.0")}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| ---------------------------------------------------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#prefetch-src", "prefetch-src")}} | {{Spec2("CSP 3.0")}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.prefetch-src")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.prefetch-src")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} diff --git a/files/fr/web/http/headers/content-security-policy/referrer/index.md b/files/fr/web/http/headers/content-security-policy/referrer/index.md index ee12abb78d..0f5ddca8d0 100644 --- a/files/fr/web/http/headers/content-security-policy/referrer/index.md +++ b/files/fr/web/http/headers/content-security-policy/referrer/index.md @@ -13,52 +13,46 @@ tags: - referrer translation_of: Web/HTTP/Headers/Content-Security-Policy/referrer --- -<div>{{HTTPSidebar}} {{deprecated_header}}</div> +{{HTTPSidebar}} {{deprecated_header}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>referrer</strong></code> spécifie des informations dans l'en-tête HTTP {{HTTPHeader("Referer")}} (avec un seul r) pour les liens externes d'une page. Cette API est dépréciée et supprimée des navigateurs.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`referrer`** spécifie des informations dans l'en-tête HTTP {{HTTPHeader("Referer")}} (avec un seul r) pour les liens externes d'une page. Cette API est dépréciée et supprimée des navigateurs. -<div class="note"> -<p><strong>Note :</strong> Utilisez plutôt l'en-tête HTTP {{HTTPHeader("Referrer-Policy")}}.</p> -</div> +> **Note :** Utilisez plutôt l'en-tête HTTP {{HTTPHeader("Referrer-Policy")}}. -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre class="syntaxbox">Content-Security-Policy: referrer <referrer-policy>;</pre> + Content-Security-Policy: referrer <referrer-policy>; -<p>Où <code><referrer-policy></code> peut être une valeur parmi :</p> +Où `<referrer-policy>` peut être une valeur parmi : -<dl> - <dt>"no-referrer"</dt> - <dd>L'en-tête HTTP {{HTTPHeader("Referer")}} sera omise. Aucune information de référent ne sera envoyée avec les requêtes.</dd> - <dt>"none-when-downgrade"</dt> - <dd>C'est le comportement par défaut des agents d'utilisateur si la directive n'est pas spécifiée. L'origine est envoyée comme référent pour une destination a priori aussi bien sécurisée (HTTP vers HTTP ou HTTPS vers HTTPS), mais n'est pas envoyée vers une destination qui l'est moins (HTTPS vers HTTP).</dd> - <dt>"origin"</dt> - <dd>Envoie l'origine du document comme référent dans tous les cas.<br> - Le document <code>https://example.com/page.html</code> enverra <code>https://example.com/</code> comme référent.</dd> - <dt>"origin-when-cross-origin" / "origin-when-crossorigin"</dt> - <dd>Envoie une URL complète pour les requêtes vers la même origine, mais seulement l'origin du document dans les autres cas.</dd> - <dt>"unsafe-url"</dt> - <dd>Envoie une URL complète (excepté ses paramètres) lors de réalisation d'une requête vers la même origine ou une autre origine. Cette règle divulguera les origines et adresses des ressources protégées par TLS à des origines non sécurisées. Considérez avec précaution les conséquences de cette configuration.</dd> -</dl> +- "no-referrer" + - : L'en-tête HTTP {{HTTPHeader("Referer")}} sera omise. Aucune information de référent ne sera envoyée avec les requêtes. +- "none-when-downgrade" + - : C'est le comportement par défaut des agents d'utilisateur si la directive n'est pas spécifiée. L'origine est envoyée comme référent pour une destination a priori aussi bien sécurisée (HTTP vers HTTP ou HTTPS vers HTTPS), mais n'est pas envoyée vers une destination qui l'est moins (HTTPS vers HTTP). +- "origin" + - : Envoie l'origine du document comme référent dans tous les cas. + Le document `https://example.com/page.html` enverra `https://example.com/` comme référent. +- "origin-when-cross-origin" / "origin-when-crossorigin" + - : Envoie une URL complète pour les requêtes vers la même origine, mais seulement l'origin du document dans les autres cas. +- "unsafe-url" + - : Envoie une URL complète (excepté ses paramètres) lors de réalisation d'une requête vers la même origine ou une autre origine. Cette règle divulguera les origines et adresses des ressources protégées par TLS à des origines non sécurisées. Considérez avec précaution les conséquences de cette configuration. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Content-Security-Policy: referrer "none";</pre> + Content-Security-Policy: referrer "none"; -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<p>Cette fonctionnalité ne fait partie d'aucune spécification.</p> +Cette fonctionnalité ne fait partie d'aucune spécification. -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.referrer")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.referrer")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTTPHeader("Referrer-Policy")}} header</li> - <li>{{HTTPHeader("Referer")}} header</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTTPHeader("Referrer-Policy")}} header +- {{HTTPHeader("Referer")}} header diff --git a/files/fr/web/http/headers/content-security-policy/report-to/index.md b/files/fr/web/http/headers/content-security-policy/report-to/index.md index 3011486ccb..10301e542f 100644 --- a/files/fr/web/http/headers/content-security-policy/report-to/index.md +++ b/files/fr/web/http/headers/content-security-policy/report-to/index.md @@ -12,68 +12,69 @@ tags: - report-to translation_of: Web/HTTP/Headers/Content-Security-Policy/report-to --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>report-to</code></strong> demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP <code>Report-To</code>.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`report-to`** demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP `Report-To`. -<pre class="syntaxbox">Content-Security-Policy: ...; report-to groupname -</pre> + Content-Security-Policy: ...; report-to groupname -<p>Cette directive n'a aucun effet en elle-même, mais prend tout son sens en étant combinée à d'autres directives.</p> +Cette directive n'a aucun effet en elle-même, mais prend tout son sens en étant combinée à d'autres directives. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>1</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Reporting directive")}}</td> - </tr> - <tr> - <th colspan="2" scope="row">This directive is not supported in the {{HTMLElement("meta")}} element.</th> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>1</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Reporting directive")}}</td> + </tr> + <tr> + <th colspan="2" scope="row"> + This directive is not supported in the {{HTMLElement("meta")}} + element. + </th> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre>Content-Security-Policy: report-to <json-field-value>;</pre> + Content-Security-Policy: report-to <json-field-value>; -<h2 id="Exemples">Exemples</h2> +## Exemples -<p>Voir {{HTTPHeader("Content-Security-Policy-Report-Only")}} pour plus d'informations et d'exemples.</p> +Voir {{HTTPHeader("Content-Security-Policy-Report-Only")}} pour plus d'informations et d'exemples. -<pre><a href="http://wicg.github.io/reporting/#report-to">Report-To</a>: { "<a href="http://wicg.github.io/reporting/#group">group</a>": "csp-endpoint", - "<a href="http://wicg.github.io/reporting/#max-age">max_age</a>": 10886400, - "<a href="http://wicg.github.io/reporting/#endpoints">endpoints</a>": [ - { "<a href="http://wicg.github.io/reporting/#url">url</a>": "https://example.com/csp-reports" } - ] }, - { "<a href="http://wicg.github.io/reporting/#group">group</a>": "hpkp-endpoint", - "<a href="http://wicg.github.io/reporting/#max-age">max_age</a>": 10886400, - "<a href="http://wicg.github.io/reporting/#endpoints">endpoints</a>": [ - { "<a href="http://wicg.github.io/reporting/#url">url</a>": "https://example.com/hpkp-reports" } - ] } -<a href="https://w3c.github.io/webappsec-csp/#content-security-policy">Content-Security-Policy</a>: ...; <a href="https://w3c.github.io/webappsec-csp/#directives-reporting">report-to</a> csp-endpoint -</pre> + Report-To: { "group": "csp-endpoint", + "max_age": 10886400, + "endpoints": [ + { "url": "https://example.com/csp-reports" } + ] }, + { "group": "hpkp-endpoint", + "max_age": 10886400, + "endpoints": [ + { "url": "https://example.com/hpkp-reports" } + ] } + Content-Security-Policy: ...; report-to csp-endpoint -<pre><a href="http://wicg.github.io/reporting/#report-to">Report-To</a>: { "<a href="http://wicg.github.io/reporting/#group">group</a>": "endpoint-1", - "<a href="http://wicg.github.io/reporting/#max-age">max_age</a>": 10886400, - "<a href="http://wicg.github.io/reporting/#endpoints">endpoints</a>": [ - { "<a href="http://wicg.github.io/reporting/#url">url</a>": "https://example.com/reports" }, - { "<a href="http://wicg.github.io/reporting/#url">url</a>": "https://backup.com/reports" } - ] } +<!----> -<a href="https://w3c.github.io/webappsec-csp/#content-security-policy">Content-Security-Policy</a>: ...; <a href="https://w3c.github.io/webappsec-csp/#directives-reporting">report-to</a> endpoint-1</pre> + Report-To: { "group": "endpoint-1", + "max_age": 10886400, + "endpoints": [ + { "url": "https://example.com/reports" }, + { "url": "https://backup.com/reports" } + ] } -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> + Content-Security-Policy: ...; report-to endpoint-1 -<p>{{Compat("http.headers.csp.Content-Security-Policy.report-to")}}</p> +## Compatibilité des navigateurs -<h2 id="Voir_aussi">Voir aussi</h2> +{{Compat("http.headers.csp.Content-Security-Policy.report-to")}} -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTTPHeader("Content-Security-Policy-Report-Only")}}</li> -</ul> +## Voir aussi + +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTTPHeader("Content-Security-Policy-Report-Only")}} diff --git a/files/fr/web/http/headers/content-security-policy/report-uri/index.md b/files/fr/web/http/headers/content-security-policy/report-uri/index.md index 18ea9daf71..d1f34a8df2 100644 --- a/files/fr/web/http/headers/content-security-policy/report-uri/index.md +++ b/files/fr/web/http/headers/content-security-policy/report-uri/index.md @@ -11,55 +11,55 @@ tags: - Sécurité translation_of: Web/HTTP/Headers/Content-Security-Policy/report-uri --- -<div>{{HTTPSidebar}}{{deprecated_header}}</div> +{{HTTPSidebar}}{{deprecated_header}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>report-uri</strong></code> demande à l'agent utilisateur de rapporter les violations de règles CSP. Ces rapports de violation sont constituées d'un document JSON envoyé via une requête HTTP POST à l'URI fournie.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`report-uri`** demande à l'agent utilisateur de rapporter les violations de règles CSP. Ces rapports de violation sont constituées d'un document JSON envoyé via une requête HTTP POST à l'URI fournie. -<div class="warning"> -<p><strong>Attention :</strong> Bien que la directive {{CSP("report-to")}} est prévue remplacer la directive <code><strong>report-uri</strong></code> maintenant dépréciée, {{CSP("report-to")}} n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront {{CSP("report-to")}}, vous pouvez spécifier les deux directives <code><strong>report-uri</strong></code> et {{CSP("report-to")}}:</p> +> **Attention :** Bien que la directive {{CSP("report-to")}} est prévue remplacer la directive **`report-uri`** maintenant dépréciée, {{CSP("report-to")}} n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront {{CSP("report-to")}}, vous pouvez spécifier les deux directives **`report-uri`** et {{CSP("report-to")}}: +> +> Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname +> +> Dans les navigateurs qui supportent {{CSP("report-to")}}, la directive **`report-uri`** sera ignorée. -<pre class="syntaxbox">Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname</pre> - -<p>Dans les navigateurs qui supportent {{CSP("report-to")}}, la directive <code><strong>report-uri</strong></code> sera ignorée.</p> -</div> - -<p>Cette directive n'a aucun effet en elle-même, mais prend tout son sens en étant combinée à d'autres directives.</p> +Cette directive n'a aucun effet en elle-même, mais prend tout son sens en étant combinée à d'autres directives. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>1</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Reporting directive")}}</td> - </tr> - <tr> - <th colspan="2" scope="row">Cette directive n'est pas supportée dans l'élément {{HTMLElement("meta")}}.</th> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>1</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Reporting directive")}}</td> + </tr> + <tr> + <th colspan="2" scope="row"> + Cette directive n'est pas supportée dans l'élément + {{HTMLElement("meta")}}. + </th> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Content-Security-Policy: report-uri <uri>; -Content-Security-Policy: report-uri <uri> <uri>;</pre> + Content-Security-Policy: report-uri <uri>; + Content-Security-Policy: report-uri <uri> <uri>; -<dl> - <dt><uri></dt> - <dd>Une URI où envoyer la requête POST contenant le rapport de violation.</dd> -</dl> +- \<uri> + - : Une URI où envoyer la requête POST contenant le rapport de violation. -<h2 id="Exemples">Exemples</h2> +## Exemples -<p>Voir {{HTTPHeader("Content-Security-Policy-Report-Only")}} pour plus d'informations et d'exemples.</p> +Voir {{HTTPHeader("Content-Security-Policy-Report-Only")}} pour plus d'informations et d'exemples. -<pre>Content-Security-Policy: default-src https:; report-uri /csp-violation-report-endpoint/</pre> + Content-Security-Policy: default-src https:; report-uri /csp-violation-report-endpoint/ -<p><code>/csp-violation-report-endpoint/</code> pourrait par exemple exécuter un script PHP similaire au suivant qui journaliserait le JSON détaillant la violation et, si elle est la première ajoutée au journal, enverrait un courril à l'administrateur :</p> +`/csp-violation-report-endpoint/` pourrait par exemple exécuter un script PHP similaire au suivant qui journaliserait le JSON détaillant la violation et, si elle est la première ajoutée au journal, enverrait un courril à l'administrateur : -<pre class="brush: php"><?php +```php +<?php // Start configure $log_file = dirname(__FILE__) . '/csp-violations.log'; @@ -88,44 +88,26 @@ if ($json_data = json_decode($json_data)) { $log_file; mail($email_address, $email_subject, $message, 'Content-Type: text/plain;charset=utf-8'); - } else if (filesize($log_file) > $log_file_size_limit) { + } else if (filesize($log_file) > $log_file_size_limit) { exit(0); } file_put_contents($log_file, $json_data, FILE_APPEND | LOCK_EX); } +``` -</pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{specName("CSP 3.0", "#directive-report-uri", "report-uri")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-report-uri", "report-uri")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +## Spécifications + +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------------------ | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-report-uri", "report-uri")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-report-uri", "report-uri")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.report-uri")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.report-uri")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTTPHeader("Content-Security-Policy-Report-Only")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTTPHeader("Content-Security-Policy-Report-Only")}} diff --git a/files/fr/web/http/headers/content-security-policy/require-sri-for/index.md b/files/fr/web/http/headers/content-security-policy/require-sri-for/index.md index f78c78e47f..2f8a2d983f 100644 --- a/files/fr/web/http/headers/content-security-policy/require-sri-for/index.md +++ b/files/fr/web/http/headers/content-security-policy/require-sri-for/index.md @@ -13,49 +13,48 @@ tags: - require-sri-for translation_of: Web/HTTP/Headers/Content-Security-Policy/require-sri-for --- -<div>{{Obsolete_header}}</div> +{{Obsolete_header}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} <code><strong>require-sri-for</strong></code> informe l'agent utilisateur de requérir la vérification <a href="/en-US/docs/Web/Security/Subresource_Integrity">d'intégrité des sous-ressources</a> pour les scripts et styles de la page.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} **`require-sri-for`** informe l'agent utilisateur de requérir la vérification [d'intégrité des sous-ressources](/en-US/docs/Web/Security/Subresource_Integrity) pour les scripts et styles de la page. -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Content-Security-Policy: require-sri-for script; -Content-Security-Policy: require-sri-for style; -Content-Security-Policy: require-sri-for script style; -</pre> + Content-Security-Policy: require-sri-for script; + Content-Security-Policy: require-sri-for style; + Content-Security-Policy: require-sri-for script style; -<dl> - <dt><code>script</code></dt> - <dd>Requiert {{Glossary("SRI")}} pour les scripts.</dd> - <dt><code>style</code></dt> - <dd>Requiert {{Glossary("SRI")}} pour les feuilles de styles.</dd> - <dt><code>script style</code></dt> - <dd>Requiert {{Glossary("SRI")}} pour les deux, scripts et feuilles de styles.</dd> -</dl> +- `script` + - : Requiert {{Glossary("SRI")}} pour les scripts. +- `style` + - : Requiert {{Glossary("SRI")}} pour les feuilles de styles. +- `script style` + - : Requiert {{Glossary("SRI")}} pour les deux, scripts et feuilles de styles. -<h2 id="Exemples">Exemples</h2> +## Exemples -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre>Content-Security-Policy: require-sri-for script style</pre> + Content-Security-Policy: require-sri-for script style -<p>Cet élément {{HTMLElement("script")}} sera chargé et exécuté puisqu'il utilise un attribut <code>integrity</code> valide.</p> +Cet élément {{HTMLElement("script")}} sera chargé et exécuté puisqu'il utilise un attribut `integrity` valide. -<pre class="brush: html; example-good"><script src="https://code.jquery.com/jquery-3.1.1.slim.js" +```html example-good +<script src="https://code.jquery.com/jquery-3.1.1.slim.js" integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA=" - crossorigin="anonymous"></script></pre> + crossorigin="anonymous"></script> +``` -<p>Toutefois, ce script sera bloqué car il n'utilise pas cet attribut :</p> +Toutefois, ce script sera bloqué car il n'utilise pas cet attribut : -<pre class="brush: html; example-bad"><script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script></pre> +```html example-bad +<script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script> +``` -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.require-sri-for")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.require-sri-for")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li><a href="/en-US/docs/Web/Security/Subresource_Integrity">Subresource Integrity</a></li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- [Subresource Integrity](/en-US/docs/Web/Security/Subresource_Integrity) diff --git a/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.md b/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.md index fea32fdcd9..aa47591d59 100644 --- a/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.md +++ b/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.md @@ -13,76 +13,57 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/require-trusted-types-for --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>require-trusted-types-for</strong></code> {{experimental_inline}} directive informe l'agent utilisateur de contrôler les données passées au puits de fonctions XSS du DOM, tel que le mutateur <a href="/en-US/docs/Web/API/Element/innerHTML">Element.innerHTML</a>.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`require-trusted-types-for`** {{experimental_inline}} directive informe l'agent utilisateur de contrôler les données passées au puits de fonctions XSS du DOM, tel que le mutateur [Element.innerHTML](/en-US/docs/Web/API/Element/innerHTML). -<p>Lors de leur usage, ces fonctions n'acceptent que des valeurs typées et non falsifiables créées par des règles de Trusted Type et rejettent les chaines de caractère. Conjointement à la directive <strong><code><a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/trusted-types">trusted-types</a></code></strong>, qui empêche la création de règles de Trusted Type, cette directive permet aux auteurs de définir des règles empêchant d'écrire des données dans le DOM et donc de réduire la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture.</p> +Lors de leur usage, ces fonctions n'acceptent que des valeurs typées et non falsifiables créées par des règles de Trusted Type et rejettent les chaines de caractère. Conjointement à la directive **[`trusted-types`](/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/trusted-types)**, qui empêche la création de règles de Trusted Type, cette directive permet aux auteurs de définir des règles empêchant d'écrire des données dans le DOM et donc de réduire la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture. -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre>Content-Security-Policy: require-trusted-types-for 'script'; -</pre> + Content-Security-Policy: require-trusted-types-for 'script'; -<dl> - <dt><code>'script'</code></dt> - <dd>Interdit l'usage de chaine de caractères avec les fonctions du puits d'injection XSS du DOM, et requiert que les types correspondant soient créés par des règles de Trusted Type.</dd> -</dl> +- `'script'` + - : Interdit l'usage de chaine de caractères avec les fonctions du puits d'injection XSS du DOM, et requiert que les types correspondant soient créés par des règles de Trusted Type. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre class="brush: js">// Content-Security-Policy: require-trusted-types-for 'script'; trusted-types foo; +```js +// Content-Security-Policy: require-trusted-types-for 'script'; trusted-types foo; -const attackerInput = '<svg onload="alert(/cross-site-scripting/)" />'; +const attackerInput = '<svg onload="alert(/cross-site-scripting/)" />'; const el = document.createElement('div'); if (typeof trustedTypes !== 'undefined') { // Create a policy that can create TrustedHTML values // after sanitizing the input strings with DOMPurify library. const sanitizer = trustedTypes.createPolicy('foo', { - createHTML: (input) => DOMPurify.sanitize(input) + createHTML: (input) => DOMPurify.sanitize(input) }); el.innerHTML = sanitizer.createHTML(attackerInput); // Puts the sanitized value into the DOM. el.innerHTML = attackerInput; // Rejects a string value; throws a TypeError. } -</pre> +``` -<h2 id="Prothèse_démulaiton">Prothèse d'émulaiton</h2> +## Prothèse d'émulaiton -<p>Une <a href="https://github.com/w3c/webappsec-trusted-types#polyfill">prothèse d'émulation pour les Trusted Types</a> est disponible sur Github.</p> +Une [prothèse d'émulation pour les Trusted Types](https://github.com/w3c/webappsec-trusted-types#polyfill) est disponible sur Github. -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td><a href="https://w3c.github.io/webappsec-trusted-types/dist/spec/">Trusted Types</a></td> - <td>Draft</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------- | ------ | -------------------- | +| [Trusted Types](https://w3c.github.io/webappsec-trusted-types/dist/spec/) | Draft | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs +{{Compat("http.headers.csp.Content-Security-Policy.trusted-types")}} +## Voir aussi -<p>{{Compat("http.headers.csp.Content-Security-Policy.trusted-types")}}</p> - -<h2 id="Voir_aussi">Voir aussi</h2> - -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li><a href="/en-US/docs/Glossary/Cross-site_scripting">Cross-Site Scripting (XSS)</a></li> - <li><a href="https://w3c.github.io/webappsec-trusted-types/dist/spec/#injection-sinks">DOM XSS injection sinks covered by Trusted Types</a></li> - <li><a href="https://web.dev/trusted-types">Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types</a></li> - <li>Trusted Types with <a href="https://github.com/cure53/DOMPurify#what-about-dompurify-and-trusted-types">DOMPurify</a> XSS sanitizer</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- [Cross-Site Scripting (XSS)](/en-US/docs/Glossary/Cross-site_scripting) +- [DOM XSS injection sinks covered by Trusted Types](https://w3c.github.io/webappsec-trusted-types/dist/spec/#injection-sinks) +- [Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types](https://web.dev/trusted-types) +- Trusted Types with [DOMPurify](https://github.com/cure53/DOMPurify#what-about-dompurify-and-trusted-types) XSS sanitizer diff --git a/files/fr/web/http/headers/content-security-policy/sandbox/index.md b/files/fr/web/http/headers/content-security-policy/sandbox/index.md index 626398f914..956d2452ca 100644 --- a/files/fr/web/http/headers/content-security-policy/sandbox/index.md +++ b/files/fr/web/http/headers/content-security-policy/sandbox/index.md @@ -11,99 +11,85 @@ tags: - Sécurité translation_of: Web/HTTP/Headers/Content-Security-Policy/sandbox --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>sandbox</strong></code> active un bac à sable (<em>sandbox</em>) pour les ressources demandées similaire à l'attribut {{htmlattrxref("sandbox", "iframe")}} des éléments {{HTMLElement("iframe")}}. Elle applique des restrictions aux actions d'une page, dont le fait d'empêcher les fenêtres intruses (<em>popups</em>) et l'exécution de greffons et de scripts et de créer une contrainte de même origine.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`sandbox`** active un bac à sable (_sandbox_) pour les ressources demandées similaire à l'attribut {{htmlattrxref("sandbox", "iframe")}} des éléments {{HTMLElement("iframe")}}. Elle applique des restrictions aux actions d'une page, dont le fait d'empêcher les fenêtres intruses (_popups_) et l'exécution de greffons et de scripts et de créer une contrainte de même origine. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>1.1 / 2</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Document directive")}}</td> - </tr> - <tr> - <th colspan="2" scope="row">Cette directive n'est pas supportée dans l'élément {{HTMLElement("meta")}} ou par l'en-tête {{HTTPHeader("Content-Security-policy-Report-Only")}}.</th> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>1.1 / 2</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Document directive")}}</td> + </tr> + <tr> + <th colspan="2" scope="row"> + Cette directive n'est pas supportée dans l'élément + {{HTMLElement("meta")}} ou par l'en-tête + {{HTTPHeader("Content-Security-policy-Report-Only")}}. + </th> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> - -<pre class="syntaxbox">Content-Security-Policy: sandbox; -Content-Security-Policy: sandbox <valeur>; -</pre> - -<p>Où <code><valeur></code> peut optionnellement être une valeur parmi :</p> - -<dl> - <dt><code>allow-downloads-without-user-activation</code> {{experimental_inline}}</dt> - <dd>Autorise les téléchargements sans action de l'utilisateur.</dd> -</dl> - -<dl> - <dt><code>allow-forms</code></dt> - <dd>Autorise la soumission de de formulaires. Si ce mot-clé n'est pas spécifié, cette opération est interdite.</dd> - <dt><code>allow-modals</code></dt> - <dd>Autorise la page à ouvrir des fenêtres modales.</dd> - <dt><code>allow-orientation-lock</code></dt> - <dd>Autorise la page à désactiver la possibilité de verrouiller l'orientation de l'écran.</dd> - <dt><code>allow-pointer-lock</code></dt> - <dd>Autorise la page à utiliser l'<a href="/en-US/docs/WebAPI/Pointer_Lock">API Pointer Lock</a>.</dd> - <dt><code>allow-popups</code></dt> - <dd>Autorise les fenêtres intruses (comme avec <code>window.open</code>, <code>target="_blank"</code>, <code>showModalDialog</code>). Si ce mot-clé n'est pas utilisée, cette fonctionnalité échouera en silence.</dd> - <dt><code>allow-popups-to-escape-sandbox</code></dt> - <dd>Autorise un document cloisonné dans une bac à sable à ouvrir de nouvelles fenêtres sans les contraindre à appliquer les mêmes règles. Cela permettra, par exemple, à une publicité externe d'être sainement cloisonnée sans imposer les mêmes restrictions sur une page d'accueil.</dd> - <dt><code>allow-presentation</code></dt> - <dd>Autorise les pages embarquantes à avoir contrôle sur la possibilité pour l'iframe de démarrer une session de présentation ou non.</dd> - <dt><code>allow-same-origin</code></dt> - <dd>Autorise le contenu à être traité comme étant de son origine normale. Si ce mot-clé n'est pas utilisé, les contenu embarqués seront traités comme étant d'une origine unique.</dd> - <dt><code>allow-scripts</code></dt> - <dd>Autorise la page à exécuter des scripts (mais non créer des fenêtres intruses). Si ce mot-clé n'est pas utilisée, cette opération n'est pas permise.</dd> - <dt><code>allow-storage-access-by-user-activation</code> {{experimental_inline}}</dt> - <dd>Laisse les requêtes de ressources accéder à l'espace de stockage du parent avec l'<a href="/en-US/docs/Web/API/Storage_Access_API">API Storage Access</a>.</dd> - <dt><code>allow-top-navigation</code></dt> - <dd>Autorise la page à charger du contenu au niveau supérieur de contexte navigationnel. Si ce mot-clé n'est pas utilisé, cette opération n'est pas permise.</dd> - <dt><code>allow-top-navigation-by-user-activation</code></dt> - <dd>Laisse la ressource naviguer jusqu'au niveau supérieur de contexte navigationnel, mais seulement si initié par une aciton de l'utilisateur.</dd> -</dl> - -<h2 id="Exemples">Exemples</h2> - -<pre class="brush: bash">Content-Security-Policy: sandbox allow-scripts;</pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{specName("CSP 3.0", "#directive-sandbox", "sandbox")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-sandbox", "sandbox")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +## Syntaxe + + Content-Security-Policy: sandbox; + Content-Security-Policy: sandbox <valeur>; + +Où `<valeur>` peut optionnellement être une valeur parmi : + +- `allow-downloads-without-user-activation` {{experimental_inline}} + - : Autorise les téléchargements sans action de l'utilisateur. + +<!----> + +- `allow-forms` + - : Autorise la soumission de de formulaires. Si ce mot-clé n'est pas spécifié, cette opération est interdite. +- `allow-modals` + - : Autorise la page à ouvrir des fenêtres modales. +- `allow-orientation-lock` + - : Autorise la page à désactiver la possibilité de verrouiller l'orientation de l'écran. +- `allow-pointer-lock` + - : Autorise la page à utiliser l'[API Pointer Lock](/en-US/docs/WebAPI/Pointer_Lock). +- `allow-popups` + - : Autorise les fenêtres intruses (comme avec `window.open`, `target="_blank"`, `showModalDialog`). Si ce mot-clé n'est pas utilisée, cette fonctionnalité échouera en silence. +- `allow-popups-to-escape-sandbox` + - : Autorise un document cloisonné dans une bac à sable à ouvrir de nouvelles fenêtres sans les contraindre à appliquer les mêmes règles. Cela permettra, par exemple, à une publicité externe d'être sainement cloisonnée sans imposer les mêmes restrictions sur une page d'accueil. +- `allow-presentation` + - : Autorise les pages embarquantes à avoir contrôle sur la possibilité pour l'iframe de démarrer une session de présentation ou non. +- `allow-same-origin` + - : Autorise le contenu à être traité comme étant de son origine normale. Si ce mot-clé n'est pas utilisé, les contenu embarqués seront traités comme étant d'une origine unique. +- `allow-scripts` + - : Autorise la page à exécuter des scripts (mais non créer des fenêtres intruses). Si ce mot-clé n'est pas utilisée, cette opération n'est pas permise. +- `allow-storage-access-by-user-activation` {{experimental_inline}} + - : Laisse les requêtes de ressources accéder à l'espace de stockage du parent avec l'[API Storage Access](/en-US/docs/Web/API/Storage_Access_API). +- `allow-top-navigation` + - : Autorise la page à charger du contenu au niveau supérieur de contexte navigationnel. Si ce mot-clé n'est pas utilisé, cette opération n'est pas permise. +- `allow-top-navigation-by-user-activation` + - : Laisse la ressource naviguer jusqu'au niveau supérieur de contexte navigationnel, mais seulement si initié par une aciton de l'utilisateur. + +## Exemples + +```bash +Content-Security-Policy: sandbox allow-scripts; +``` + +## Spécifications + +| Spécification | Statut | Commentaire | +| ---------------------------------------------------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-sandbox", "sandbox")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-sandbox", "sandbox")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.sandbox")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.sandbox")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{htmlattrxref("sandbox", "iframe")}} attribute on {{HTMLElement("iframe")}} elements</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{htmlattrxref("sandbox", "iframe")}} attribute on {{HTMLElement("iframe")}} elements diff --git a/files/fr/web/http/headers/content-security-policy/script-src-attr/index.md b/files/fr/web/http/headers/content-security-policy/script-src-attr/index.md index d08a6f4e57..e0d25ed7db 100644 --- a/files/fr/web/http/headers/content-security-policy/script-src-attr/index.md +++ b/files/fr/web/http/headers/content-security-policy/script-src-attr/index.md @@ -16,79 +16,66 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src-attr --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>script-src-attr</strong></code> spécifie les sources valides pour du code JavaScript embarqué dans des éléments {{HTMLElement("script")}} ou dans des gestionnaires d'évènements par attribut comme <code>onclick</code>, mais non les URL chargées par des éléments {{HTMLElement("script")}}.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`script-src-attr`** spécifie les sources valides pour du code JavaScript embarqué dans des éléments {{HTMLElement("script")}} ou dans des gestionnaires d'évènements par attribut comme `onclick`, mais non les URL chargées par des éléments {{HTMLElement("script")}}. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>3</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Oui, si cette directive est absente, l'agent utilisateur consultera la directive {{CSP("script-src")}}, qui a pour valeur par défaut celle de la directive <code>default-src</code></td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>3</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive {{CSP("script-src")}}, qui a pour valeur par défaut + celle de la directive <code>default-src</code> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: script-src-attr <source>; -Content-Security-Policy: script-src-attr <source> <source>; -</pre> + Content-Security-Policy: script-src-attr <source>; + Content-Security-Policy: script-src-attr <source> <source>; -<p><code>script-src-attr</code> peut être utilisée conjointement à {{CSP("script-src")}} :</p> +`script-src-attr` peut être utilisée conjointement à {{CSP("script-src")}} : -<pre class="syntaxbox">Content-Security-Policy: script-src <source>; -Content-Security-Policy: script-src-attr <source>; -</pre> + Content-Security-Policy: script-src <source>; + Content-Security-Policy: script-src-attr <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Valeur_par_défaut_avec_script-src">Valeur par défaut avec script-src</h3> +### Valeur par défaut avec script-src -<p>Si la directive <code>script-src-attr</code> est absente, l'agent utilisateur se rabat sur la valeur de la directive {{CSP("script-src")}}, qui elle-même a pour valeur par défaut celle de la directive {{CSP("default-src")}}.</p> +Si la directive `script-src-attr` est absente, l'agent utilisateur se rabat sur la valeur de la directive {{CSP("script-src")}}, qui elle-même a pour valeur par défaut celle de la directive {{CSP("default-src")}}. -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#directive-script-src-attr", "script-src-attr")}}</td> - <td>{{Spec2("CSP 3.0")}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------------------------------ | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-script-src-attr", "script-src-attr")}} | {{Spec2("CSP 3.0")}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.script-src-attr")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.script-src-attr")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTMLElement("script")}}</li> - <li>{{CSP("script-src")}}</li> - <li>{{CSP("script-src-elem")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTMLElement("script")}} +- {{CSP("script-src")}} +- {{CSP("script-src-elem")}} diff --git a/files/fr/web/http/headers/content-security-policy/script-src-elem/index.md b/files/fr/web/http/headers/content-security-policy/script-src-elem/index.md index 7d29bbef41..371af81c94 100644 --- a/files/fr/web/http/headers/content-security-policy/script-src-elem/index.md +++ b/files/fr/web/http/headers/content-security-policy/script-src-elem/index.md @@ -16,81 +16,66 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src-elem --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>script-src-elem</code></strong> spécifie les sources valides pour des éléments {{HTMLElement("script")}} JavaScript, mais non pour des scripts embarqués ou des gestionnaire d'évènements par attribut comme <code>onclick</code>.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`script-src-elem`** spécifie les sources valides pour des éléments {{HTMLElement("script")}} JavaScript, mais non pour des scripts embarqués ou des gestionnaire d'évènements par attribut comme `onclick`. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>3</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Oui, si cette directive est absente, l'agent utilisateur consultera la directive {{CSP("script-src")}}, qui a pour valeur par défaut celle de la directive <code>default-src</code></td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>3</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive {{CSP("script-src")}}, qui a pour valeur par défaut + celle de la directive <code>default-src</code> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: script-src-elem <source>; -Content-Security-Policy: script-src-elem <source> <source>; -</pre> + Content-Security-Policy: script-src-elem <source>; + Content-Security-Policy: script-src-elem <source> <source>; -<p><code>script-src-elem</code> peut être utilisée conjointement à {{CSP("script-src")}} :</p> +`script-src-elem` peut être utilisée conjointement à {{CSP("script-src")}} : -<pre class="syntaxbox">Content-Security-Policy: script-src <source>; -Content-Security-Policy: script-src-elem <source>; -</pre> + Content-Security-Policy: script-src <source>; + Content-Security-Policy: script-src-elem <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Valeur_par_défaut_avec_script-src">Valeur par défaut avec script-src</h3> +### Valeur par défaut avec script-src -<p>Si la directive <code>script-src-elem</code> est absente, l'agent utilisateur se rabat sur la valeur de la directive {{CSP("script-src")}}, qui elle-même a pour valeur par défaut celle de la directive {{CSP("default-src")}}.</p> +Si la directive `script-src-elem` est absente, l'agent utilisateur se rabat sur la valeur de la directive {{CSP("script-src")}}, qui elle-même a pour valeur par défaut celle de la directive {{CSP("default-src")}}. -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#directive-script-src-elem", "script-src-elem")}}</td> - <td>{{Spec2("CSP 3.0")}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> - -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Spécifications +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------------------------------ | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-script-src-elem", "script-src-elem")}} | {{Spec2("CSP 3.0")}} | Définition initiale. | +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.script-src-elem")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.script-src-elem")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTMLElement("script")}}</li> - <li>{{CSP("script-src")}}</li> - <li>{{CSP("script-src-attr")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTMLElement("script")}} +- {{CSP("script-src")}} +- {{CSP("script-src-attr")}} diff --git a/files/fr/web/http/headers/content-security-policy/script-src/index.md b/files/fr/web/http/headers/content-security-policy/script-src/index.md index a6b2659ae9..03f6414e8c 100644 --- a/files/fr/web/http/headers/content-security-policy/script-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/script-src/index.md @@ -15,162 +15,163 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>script-src</strong></code> spécifie les sources valides pour du code JavaScript. Cela inclut non seulement les URL chargées directement par les éléments {{HTMLElement("script")}}, mais aussi les scripts embarqués, les attributs de gestion d'évènements (<code>onclick</code>) et <a href="/en-US/docs/Web/XSLT">les feuilles de style XSLT</a> pouvant déclencher l'exécution de scripts.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`script-src`** spécifie les sources valides pour du code JavaScript. Cela inclut non seulement les URL chargées directement par les éléments {{HTMLElement("script")}}, mais aussi les scripts embarqués, les attributs de gestion d'évènements (`onclick`) et [les feuilles de style XSLT](/en-US/docs/Web/XSLT) pouvant déclencher l'exécution de scripts. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>1</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td>Oui, si cette directive est absente, l'agent utilisateur consultera la directive <code>default-src</code></td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>1</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive <code>default-src</code> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: script-src <source>; -Content-Security-Policy: script-src <source> <source>; -</pre> + Content-Security-Policy: script-src <source>; + Content-Security-Policy: script-src <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre class="brush: bash">Content-Security-Policy: script-src https://example.com/</pre> +```bash +Content-Security-Policy: script-src https://example.com/ +``` -<p>Ces scripts seront bloqués et ne seront pas chargés ou exécutés :</p> +Ces scripts seront bloqués et ne seront pas chargés ou exécutés : -<pre class="brush: html"><script src="https://not-example.com/js/library.js"></script></pre> +```html +<script src="https://not-example.com/js/library.js"></script> +``` -<p>Notez que les gestionnaires d'évènements par attributs sont aussi bloqués :</p> +Notez que les gestionnaires d'évènements par attributs sont aussi bloqués : -<pre class="brush: html"><button id="btn" onclick="doSomething()"></pre> +```html +<button id="btn" onclick="doSomething()"> +``` -<p>Vous devez les remplacer par des appels à la méthode {{domxref("EventTarget.addEventListener", "addEventListener")}} :</p> +Vous devez les remplacer par des appels à la méthode {{domxref("EventTarget.addEventListener", "addEventListener")}} : -<pre class="brush: js">document.getElementById("btn").addEventListener('click', doSomething);</pre> +```js +document.getElementById("btn").addEventListener('click', doSomething); +``` -<h3 id="Scripts_embarqués_non_fiables">Scripts embarqués non fiables</h3> +### Scripts embarqués non fiables -<div class="note"> -<p><strong>Note :</strong> Bloquer les styles et scripts embarqués est l'une des stratégies de sécurité majeures que CSP propose. Toutefois, si vous en avez absolument besoin, il existe des mécanismes qui vous permettront de les autoriser.</p> -</div> +> **Note :** Bloquer les styles et scripts embarqués est l'une des stratégies de sécurité majeures que CSP propose. Toutefois, si vous en avez absolument besoin, il existe des mécanismes qui vous permettront de les autoriser. -<p>Vous pouvez autoriser les scripts embarqués et les gestionnaires d'évènements par attributs en spécifiant la valeur <code>'unsafe-inline'</code>, des nonces ou des hashs correspondant au script.</p> +Vous pouvez autoriser les scripts embarqués et les gestionnaires d'évènements par attributs en spécifiant la valeur `'unsafe-inline'`, des nonces ou des hashs correspondant au script. -<pre class="brush: bash">Content-Security-Policy: script-src 'unsafe-inline'; -</pre> +```bash +Content-Security-Policy: script-src 'unsafe-inline'; +``` -<p>Cette directive CSP autorisera tous les scripts {{HTMLElement("script")}} embarqués :</p> +Cette directive CSP autorisera tous les scripts {{HTMLElement("script")}} embarqués : -<pre class="brush: html"><script> +```html +<script> var inline = 1; -</script></pre> +</script> +``` -<p>Vous pouvez aussi utiliser un nonce pour autoriser spécifiquement certains éléments {{HTMLElement("script")}} embarqués :</p> +Vous pouvez aussi utiliser un nonce pour autoriser spécifiquement certains éléments {{HTMLElement("script")}} embarqués : -<pre class="brush: bash">Content-Security-Policy: script-src 'nonce-2726c7f26c'</pre> +```bash +Content-Security-Policy: script-src 'nonce-2726c7f26c' +``` -<p>Vous devrez alors définir ce nonce sur l'élément {{HTMLElement("script")}} :</p> +Vous devrez alors définir ce nonce sur l'élément {{HTMLElement("script")}} : -<pre class="brush: html"><script nonce="2726c7f26c"> +```html +<script nonce="2726c7f26c"> var inline = 1; -</script></pre> +</script> +``` -<p>Autrement, vous pouvez créer des hashs à partir de vos scripts. CSP accepte les algorithmes sha256, sha384 et sha512.</p> +Autrement, vous pouvez créer des hashs à partir de vos scripts. CSP accepte les algorithmes sha256, sha384 et sha512. -<pre class="brush: bash">Content-Security-Policy: script-src 'sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8='</pre> +```bash +Content-Security-Policy: script-src 'sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8=' +``` -<p>Lors de la génération du hash, vous ne devez pas inclure les balises et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.).</p> +Lors de la génération du hash, vous ne devez pas inclure les balises et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.). -<pre class="brush: html"><script>var inline = 1;</script></pre> +```html +<script>var inline = 1;</script> +``` -<h3 id="Expressions_dévaluation_non_fiables">Expressions d'évaluation non fiables</h3> +### Expressions d'évaluation non fiables -<p>La valeur <code>'unsafe-eval'</code> contrôle différents méthodes qui créent du code JavaScript à partir de chaines de caractères. Si <code>'unsafe-eval'</code> n'est pas spécifiée avec la directive <code>script-src</code>, ces méthodes seront bloquées et n'auront aucun effet :</p> +La valeur `'unsafe-eval'` contrôle différents méthodes qui créent du code JavaScript à partir de chaines de caractères. Si `'unsafe-eval'` n'est pas spécifiée avec la directive `script-src`, ces méthodes seront bloquées et n'auront aucun effet : -<ul> - <li>{{jsxref("eval", "eval()")}}</li> - <li>{{jsxref("Function", "Function()")}}</li> - <li>En passant une chaine à des méthodes tel que : <code>window.setTimeout("alert(\"Hello World!\");", 500);</code> - <ul> - <li>{{domxref("window.setTimeout")}}</li> - <li>{{domxref("window.setInterval")}}</li> - <li>{{domxref("window.setImmediate")}}</li> - </ul> - </li> - <li>{{domxref("window.execScript")}} {{non-standard_inline}} (IE10 et versions précédentes)</li> -</ul> +- {{jsxref("eval", "eval()")}} +- {{jsxref("Function", "Function()")}} +- En passant une chaine à des méthodes tel que : `window.setTimeout("alert(\"Hello World!\");", 500);` -<h3 id="strict-dynamic">strict-dynamic</h3> + - {{domxref("window.setTimeout")}} + - {{domxref("window.setInterval")}} + - {{domxref("window.setImmediate")}} -<p>La valeur <code>'strict-dynamic'</code> spécifie que la confiance explicitement donnée à un script de la page, par le biais d'un nonce ou d'un hash, doit être propagée à tous les scripts chargés par celui-ci. En conséquence, toute liste de permissions ou expressions de sources telles que <code>'self'</code> ou <code>'unsafe-inline'</code> sont ignorées. Par exemple, une règle telle que <code>script-src 'strict-dynamic' 'nonce-R4nd0m' https://whitelisted.com/</code> autoriserait le chargement de scripts comme <code><script nonce="R4nd0m" src="https://example.com/loader.js"></code> et s'appliquerait ensuite à tous les scripts chargés par <code>loader.js</code>, mais interdirait les scripts chargés depuis <code>https://whitelisted.com/</code> à moins qu'ils soient accompagnés d'un nonce ou chargés depuis un script dont la source est de confiance.</p> +- {{domxref("window.execScript")}} {{non-standard_inline}} (IE10 et versions précédentes) -<pre class="brush: bash">script-src 'strict-dynamic' 'nonce-<em>someNonce</em>'</pre> +### strict-dynamic -<p><em>Ou</em></p> +La valeur `'strict-dynamic'` spécifie que la confiance explicitement donnée à un script de la page, par le biais d'un nonce ou d'un hash, doit être propagée à tous les scripts chargés par celui-ci. En conséquence, toute liste de permissions ou expressions de sources telles que `'self'` ou `'unsafe-inline'` sont ignorées. Par exemple, une règle telle que `script-src 'strict-dynamic' 'nonce-R4nd0m' https://whitelisted.com/` autoriserait le chargement de scripts comme `<script nonce="R4nd0m" src="https://example.com/loader.js">` et s'appliquerait ensuite à tous les scripts chargés par `loader.js`, mais interdirait les scripts chargés depuis `https://whitelisted.com/` à moins qu'ils soient accompagnés d'un nonce ou chargés depuis un script dont la source est de confiance. -<pre class="brush: bash">script-src 'strict-dynamic' 'sha256-<em>base64EncodedHash</em>'</pre> +```bash +script-src 'strict-dynamic' 'nonce-someNonce' +``` -<p>Il est possible de déployer <code>strict-dynamic</code> de manière rétrocompatible, sans chercher à connaitre l'agent utilisateur. Cette directive :</p> +_Ou_ -<pre class="brush: bash">script-src 'unsafe-inline' https: 'nonce-abcdefg' 'strict-dynamic'</pre> +```bash +script-src 'strict-dynamic' 'sha256-base64EncodedHash' +``` -<p>fonctionnera comme <code>'unsafe-inline' https:</code> pour les navigateurs supportant CSP1, <code>https: 'nonce-abcdefg'</code> pour ceux supportant CSP2 et comme <code>'nonce-abcdefg' 'strict-dynamic'</code> pour ceux supportant CSP3.</p> +Il est possible de déployer `strict-dynamic` de manière rétrocompatible, sans chercher à connaitre l'agent utilisateur. Cette directive : -<h2 id="Spécifications">Spécifications</h2> +```bash +script-src 'unsafe-inline' https: 'nonce-abcdefg' 'strict-dynamic' +``` -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#directive-script-src", "script-src")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-script-src", "script-src")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Initial definition.</td> - </tr> - </tbody> -</table> +fonctionnera comme `'unsafe-inline' https:` pour les navigateurs supportant CSP1, `https: 'nonce-abcdefg'` pour ceux supportant CSP2 et comme `'nonce-abcdefg' 'strict-dynamic'` pour ceux supportant CSP3. -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Spécifications +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------------------ | ---------------------------- | ------------------- | +| {{specName("CSP 3.0", "#directive-script-src", "script-src")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-script-src", "script-src")}} | {{Spec2('CSP 1.1')}} | Initial definition. | +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.script-src")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.script-src")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTMLElement("script")}}</li> - <li>{{CSP("script-src-elem")}}</li> - <li>{{CSP("script-src-attr")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTMLElement("script")}} +- {{CSP("script-src-elem")}} +- {{CSP("script-src-attr")}} diff --git a/files/fr/web/http/headers/content-security-policy/style-src-attr/index.md b/files/fr/web/http/headers/content-security-policy/style-src-attr/index.md index efe3b11c9a..3515d5b09f 100644 --- a/files/fr/web/http/headers/content-security-policy/style-src-attr/index.md +++ b/files/fr/web/http/headers/content-security-policy/style-src-attr/index.md @@ -16,82 +16,70 @@ tags: - style-src-attr translation_of: Web/HTTP/Headers/Content-Security-Policy/style-src-attr --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>style</strong></code><strong><code>-src-attr</code></strong> spécifie les sources valides pour des feuilles de styles appliquées à des éléments individuels du DOM par l'attribut <code>style</code>.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`style`\*\***`-src-attr`\*\* spécifie les sources valides pour des feuilles de styles appliquées à des éléments individuels du DOM par l'attribut `style`. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>3</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td> - <p>Oui, si cette directive est absente, l'agent utilisateur consultera la directive {{CSP("style-src")}}, qui a pour valeur par défaut celle de la directive <code>default-src</code></p> - </td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>3</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td> + <p> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive {{CSP("style-src")}}, qui a pour valeur par défaut + celle de la directive <code>default-src</code> + </p> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: style-src-attr <source>; -Content-Security-Policy: style-src-attr <source> <source>; -</pre> + Content-Security-Policy: style-src-attr <source>; + Content-Security-Policy: style-src-attr <source> <source>; -<p><code>style-src-attr</code> peut être utilisée conjointement à {{CSP("style-src")}} :</p> +`style-src-attr` peut être utilisée conjointement à {{CSP("style-src")}} : -<pre>Content-Security-Policy: <code>style</code>-src <source>; -Content-Security-Policy: <code>style</code>-src-attr <source>;</pre> + Content-Security-Policy: style-src <source>; + Content-Security-Policy: style-src-attr <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}} -<dl> - <dt>'report-sample'</dt> - <dd>Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé.</dd> -</dl> +- 'report-sample' + - : Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé. -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{specName("CSP 3.0", "#directive-style-src-attr", "style-src-attr")}}</td> - <td>{{Spec2("CSP 3.0")}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| -------------------------------------------------------------------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-style-src-attr", "style-src-attr")}} | {{Spec2("CSP 3.0")}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.style-src-attr")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.style-src-attr")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{CSP("style-src")}}</li> - <li>{{CSP("style-src-elem")}}</li> - <li>{{HTTPHeader("Link")}} header</li> - <li>{{HTMLElement("style")}}, {{HTMLElement("link")}}</li> - <li>{{cssxref("@import")}}</li> - <li>{{domxref("CSSStyleSheet.insertRule()")}}</li> - <li>{{domxref("CSSGroupingRule.insertRule()")}}</li> - <li>{{domxref("CSSStyleDeclaration.cssText")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{CSP("style-src")}} +- {{CSP("style-src-elem")}} +- {{HTTPHeader("Link")}} header +- {{HTMLElement("style")}}, {{HTMLElement("link")}} +- {{cssxref("@import")}} +- {{domxref("CSSStyleSheet.insertRule()")}} +- {{domxref("CSSGroupingRule.insertRule()")}} +- {{domxref("CSSStyleDeclaration.cssText")}} diff --git a/files/fr/web/http/headers/content-security-policy/style-src-elem/index.md b/files/fr/web/http/headers/content-security-policy/style-src-elem/index.md index ae88af89c0..8ffa4d482e 100644 --- a/files/fr/web/http/headers/content-security-policy/style-src-elem/index.md +++ b/files/fr/web/http/headers/content-security-policy/style-src-elem/index.md @@ -16,82 +16,70 @@ tags: - style-src-elem translation_of: Web/HTTP/Headers/Content-Security-Policy/style-src-elem --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>style</strong></code><strong><code>-src-elem</code></strong> spécifie les sources valides pour les feuilles de styles embarquées avec l'élément {{HTMLElement("style")}} et pour l'élément {{HTMLElement("link")}} avec l'attribut <code>rel="stylesheet"</code>.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`style`\*\***`-src-elem`\*\* spécifie les sources valides pour les feuilles de styles embarquées avec l'élément {{HTMLElement("style")}} et pour l'élément {{HTMLElement("link")}} avec l'attribut `rel="stylesheet"`. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>3</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} par défaut</th> - <td> - <p>Oui, si cette directive est absente, l'agent utilisateur consultera la directive {{CSP("style-src")}}, qui a pour valeur par défaut celle de la directive <code>default-src</code></p> - </td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>3</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} par défaut</th> + <td> + <p> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive {{CSP("style-src")}}, qui a pour valeur par défaut + celle de la directive <code>default-src</code> + </p> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: style-src-elem <source>; -Content-Security-Policy: style-src-elem <source> <source>; -</pre> + Content-Security-Policy: style-src-elem <source>; + Content-Security-Policy: style-src-elem <source> <source>; -<p><code>style-src-elem</code> peut être utilisée conjointement à {{CSP("style-src")}} :</p> +`style-src-elem` peut être utilisée conjointement à {{CSP("style-src")}} : -<pre>Content-Security-Policy: <code>style</code>-src <source>; -Content-Security-Policy: <code>style</code>-src-elem <source>;</pre> + Content-Security-Policy: style-src <source>; + Content-Security-Policy: style-src-elem <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}} -<dl> - <dt>'report-sample'</dt> - <dd>Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé.</dd> -</dl> +- 'report-sample' + - : Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé. -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{specName("CSP 3.0", "#directive-style-src-elem", "style-src-elem")}}</td> - <td>{{Spec2("CSP 3.0")}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| -------------------------------------------------------------------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-style-src-elem", "style-src-elem")}} | {{Spec2("CSP 3.0")}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.style-src-elem")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.style-src-elem")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{CSP("style-src")}}</li> - <li>{{CSP("style-src-attr")}}</li> - <li>{{HTTPHeader("Link")}} header</li> - <li>{{HTMLElement("style")}}, {{HTMLElement("link")}}</li> - <li>{{cssxref("@import")}}</li> - <li>{{domxref("CSSStyleSheet.insertRule()")}}</li> - <li>{{domxref("CSSGroupingRule.insertRule()")}}</li> - <li>{{domxref("CSSStyleDeclaration.cssText")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{CSP("style-src")}} +- {{CSP("style-src-attr")}} +- {{HTTPHeader("Link")}} header +- {{HTMLElement("style")}}, {{HTMLElement("link")}} +- {{cssxref("@import")}} +- {{domxref("CSSStyleSheet.insertRule()")}} +- {{domxref("CSSGroupingRule.insertRule()")}} +- {{domxref("CSSStyleDeclaration.cssText")}} diff --git a/files/fr/web/http/headers/content-security-policy/style-src/index.md b/files/fr/web/http/headers/content-security-policy/style-src/index.md index a8fa19ef1c..60d4956741 100644 --- a/files/fr/web/http/headers/content-security-policy/style-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/style-src/index.md @@ -15,167 +15,165 @@ tags: - style-src translation_of: Web/HTTP/Headers/Content-Security-Policy/style-src --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>style-src</code></strong> spécifie les sources valides pour des feuilles de style.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`style-src`** spécifie les sources valides pour des feuilles de style. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>1</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">{{CSP("default-src")}} fallback</th> - <td>Oui, si cette directive est absente, l'agent utilisateur consultera la directive <code>default-src</code></td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>1</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">{{CSP("default-src")}} fallback</th> + <td> + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive <code>default-src</code> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: style-src <source>; -Content-Security-Policy: style-src <source> <source>; -</pre> + Content-Security-Policy: style-src <source>; + Content-Security-Policy: style-src <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre class="brush: bash">Content-Security-Policy: style-src https://example.com/</pre> +```bash +Content-Security-Policy: style-src https://example.com/ +``` -<p>Ces feuilles de style seront bloquées et ne se chargeront pas :</p> +Ces feuilles de style seront bloquées et ne se chargeront pas : -<pre class="brush: html"><link href="https://not-example.com/styles/main.css" rel="stylesheet" type="text/css" /> +```html +<link href="https://not-example.com/styles/main.css" rel="stylesheet" type="text/css" /> -<style> +<style> #inline-style { background: red; } -</style> +</style> -<style> +<style> @import url("https://not-example.com/styles/print.css") print; -</style></pre> +</style> +``` -<p>De même que les styles chargés avec l'en-tête {{HTTPHeader("Link")}} :</p> +De même que les styles chargés avec l'en-tête {{HTTPHeader("Link")}} : -<pre class="brush: bash">Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet -</pre> +```bash +Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet +``` -<p>Les attributes de style seront aussi bloqués :</p> +Les attributes de style seront aussi bloqués : -<pre class="brush: html"><div style="display:none">Foo</div></pre> +```html +<div style="display:none">Foo</div> +``` -<p>De même que les styles ajoutés par JavaScript en définissant l'attribut <code>style</code> directement, ou en définissant la propriété {{domxref("CSSStyleDeclaration.cssText", "cssText")}} :</p> +De même que les styles ajoutés par JavaScript en définissant l'attribut `style` directement, ou en définissant la propriété {{domxref("CSSStyleDeclaration.cssText", "cssText")}} : -<pre class="brush: js">document.querySelector('div').setAttribute('style', 'display:none;'); -document.querySelector('div').style.cssText = 'display:none;';</pre> +```js +document.querySelector('div').setAttribute('style', 'display:none;'); +document.querySelector('div').style.cssText = 'display:none;'; +``` -<p>Toutefois, les propriétés de styles qui sont définies directement dans l'attribut {{domxref("HTMLElement.style", "style")}} ne seront pas bloquées, permettant aux utilisateurs de manipuler sainement les styles avec JavaScript :</p> +Toutefois, les propriétés de styles qui sont définies directement dans l'attribut {{domxref("HTMLElement.style", "style")}} ne seront pas bloquées, permettant aux utilisateurs de manipuler sainement les styles avec JavaScript : -<pre class="brush: js">document.querySelector('div').style.display = 'none';</pre> +```js +document.querySelector('div').style.display = 'none'; +``` -<p>Ce genre de manipulations peut être bloqué en désactivant JavaScript au moyen de la directive CSP {{CSP("script-src")}}.</p> +Ce genre de manipulations peut être bloqué en désactivant JavaScript au moyen de la directive CSP {{CSP("script-src")}}. -<h3 id="Styles_embarqués_non_fiables">Styles embarqués non fiables</h3> +### Styles embarqués non fiables -<div class="note"> -<p><strong>Note :</strong> Bloquer les styles et scripts embarqués est l'une des stratégies de sécurité majeures que CSP propose. Toutefois, si vous en avez absolument besoin, il existe des mécanismes qui vous permettront de les autoriser.</p> -</div> +> **Note :** Bloquer les styles et scripts embarqués est l'une des stratégies de sécurité majeures que CSP propose. Toutefois, si vous en avez absolument besoin, il existe des mécanismes qui vous permettront de les autoriser. -<p>Vous pouvez autoriser les styles embarqués en spécifiant la valeur <code>'unsafe-inline'</code>, des nonces ou des hashs correspondant à la feuille de style.</p> +Vous pouvez autoriser les styles embarqués en spécifiant la valeur `'unsafe-inline'`, des nonces ou des hashs correspondant à la feuille de style. -<pre class="brush: bash">Content-Security-Policy: style-src 'unsafe-inline'; -</pre> +```bash +Content-Security-Policy: style-src 'unsafe-inline'; +``` -<p>Cette directive CSP autorisera toutes les feuilles de styles embarquées telles que l'élément {{HTMLElement("style")}} et l'attribut <code>style</code> sur tous les éléments :</p> +Cette directive CSP autorisera toutes les feuilles de styles embarquées telles que l'élément {{HTMLElement("style")}} et l'attribut `style` sur tous les éléments : -<pre class="brush: html"><style> +```html +<style> #inline-style { background: red; } -</style> +</style> -<div style="display:none">Foo</div> -</pre> +<div style="display:none">Foo</div> +``` -<p>Vous pouvez aussi utiliser un nonce pour autoriser spécifiquement certains éléments {{HTMLElement("style")}} :</p> +Vous pouvez aussi utiliser un nonce pour autoriser spécifiquement certains éléments {{HTMLElement("style")}} : -<pre class="brush: bash">Content-Security-Policy: style-src 'nonce-2726c7f26c'</pre> +```bash +Content-Security-Policy: style-src 'nonce-2726c7f26c' +``` -<p>Vous devrez alors définir ce nonce sur l'élément {{HTMLElement("style")}} :</p> +Vous devrez alors définir ce nonce sur l'élément {{HTMLElement("style")}} : -<pre class="brush: html"><style nonce="2726c7f26c"> +```html +<style nonce="2726c7f26c"> #inline-style { background: red; } -</style></pre> - -<p>Autrement, vous pourrez créer des hashs à partir de vos feuilles de styles. CSP accepte les algorithmes sha256, sha384 et sha512.</p> - -<pre class="brush: bash">Content-Security-Policy: style-src 'sha256-a330698cbe9dc4ef1fb12e2ee9fc06d5d14300262fa4dc5878103ab7347e158f'</pre> - -<p>Lors de la génération du hash, vous ne devez pas inclure les balises et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.).</p> - -<pre class="brush: html"><style>#inline-style { background: red; }</style></pre> - -<h3 id="Style_non_fiables">Style non fiables</h3> - -<p>La valeur <code>'unsafe-eval'</code> contrôle différente méthodes de mise en page qui créent des déclarations de style à partir de chaines de caractères. Si <code>'unsafe-eval'</code> n'est pas spécifiée avec la directive <code>style-src</code>, ces méthodes seront bloquées et n'auront aucun effet :</p> - -<ul> - <li>{{domxref("CSSStyleSheet.insertRule()")}}</li> - <li>{{domxref("CSSGroupingRule.insertRule()")}}</li> - <li>{{domxref("CSSStyleDeclaration.cssText")}}</li> -</ul> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Specification</th> - <th scope="col">Status</th> - <th scope="col">Comment</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#directive-style-src", "style-src")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Inchangé.</td> - </tr> - <tr> - <td>{{specName("CSP 1.1", "#directive-style-src", "style-src")}}</td> - <td>{{Spec2('CSP 1.1')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +</style> +``` + +Autrement, vous pourrez créer des hashs à partir de vos feuilles de styles. CSP accepte les algorithmes sha256, sha384 et sha512. + +```bash +Content-Security-Policy: style-src 'sha256-a330698cbe9dc4ef1fb12e2ee9fc06d5d14300262fa4dc5878103ab7347e158f' +``` + +Lors de la génération du hash, vous ne devez pas inclure les balises et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.). + +```html +<style>#inline-style { background: red; }</style> +``` + +### Style non fiables + +La valeur `'unsafe-eval'` contrôle différente méthodes de mise en page qui créent des déclarations de style à partir de chaines de caractères. Si `'unsafe-eval'` n'est pas spécifiée avec la directive `style-src`, ces méthodes seront bloquées et n'auront aucun effet : + +- {{domxref("CSSStyleSheet.insertRule()")}} +- {{domxref("CSSGroupingRule.insertRule()")}} +- {{domxref("CSSStyleDeclaration.cssText")}} -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Spécifications +| Specification | Status | Comment | +| -------------------------------------------------------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-style-src", "style-src")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-style-src", "style-src")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.style-src")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.style-src")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{CSP("style-src-elem")}}</li> - <li>{{CSP("style-src-attr")}}</li> - <li>{{HTTPHeader("Link")}} header</li> - <li>{{HTMLElement("style")}}, {{HTMLElement("link")}}</li> - <li>{{cssxref("@import")}}</li> - <li>{{domxref("CSSStyleSheet.insertRule()")}}</li> - <li>{{domxref("CSSGroupingRule.insertRule()")}}</li> - <li>{{domxref("CSSStyleDeclaration.cssText")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{CSP("style-src-elem")}} +- {{CSP("style-src-attr")}} +- {{HTTPHeader("Link")}} header +- {{HTMLElement("style")}}, {{HTMLElement("link")}} +- {{cssxref("@import")}} +- {{domxref("CSSStyleSheet.insertRule()")}} +- {{domxref("CSSGroupingRule.insertRule()")}} +- {{domxref("CSSStyleDeclaration.cssText")}} diff --git a/files/fr/web/http/headers/content-security-policy/trusted-types/index.md b/files/fr/web/http/headers/content-security-policy/trusted-types/index.md index f1c5d12b6d..dd9d6cd0e5 100644 --- a/files/fr/web/http/headers/content-security-policy/trusted-types/index.md +++ b/files/fr/web/http/headers/content-security-policy/trusted-types/index.md @@ -12,78 +12,59 @@ tags: - trusted-types translation_of: Web/HTTP/Headers/Content-Security-Policy/trusted-types --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>trusted-types</strong></code> {{experimental_inline}} informe l'agent utilisateur qu'il faut restreindre la création de règles Trusted Types (fonctions qui créent des valeurs typées non falsifiables, dans le but de les passer au puits XSS du DOM au lieu de chaines de caractères).</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`trusted-types`** {{experimental_inline}} informe l'agent utilisateur qu'il faut restreindre la création de règles Trusted Types (fonctions qui créent des valeurs typées non falsifiables, dans le but de les passer au puits XSS du DOM au lieu de chaines de caractères). -<p>Conjointement à la directive <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/require-trusted-types-for"><code>require-trusted-types-for</code></a>, cette directive permet aux auteurs de définir des règles empêchant d'injecter des données dans le DOM et donc de réduire la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture. Cette directive déclare une liste de permissions de noms de règles de Trusted Types créée avec <code>TrustedTypes.createPolicy</code> à partir de l'API Trusted Types.</p> +Conjointement à la directive [`require-trusted-types-for`](/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/require-trusted-types-for), cette directive permet aux auteurs de définir des règles empêchant d'injecter des données dans le DOM et donc de réduire la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture. Cette directive déclare une liste de permissions de noms de règles de Trusted Types créée avec `TrustedTypes.createPolicy` à partir de l'API Trusted Types. -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre>Content-Security-Policy: trusted-types; -Content-Security-Policy: trusted-types 'none'; -Content-Security-Policy: trusted-types <policyName>; -Content-Security-Policy: trusted-types <policyName> <policyName> 'allow-duplicates'; -</pre> + Content-Security-Policy: trusted-types; + Content-Security-Policy: trusted-types 'none'; + Content-Security-Policy: trusted-types <policyName>; + Content-Security-Policy: trusted-types <policyName> <policyName> 'allow-duplicates'; -<dl> - <dt><nomRègle></dt> - <dd>Un nom de règle est composé de caractères alphanumériques ou d'un ou plusieurs "<code>-#=_/@.%</code>". Une astérisque (<code>*</code>) comme nom de règle informe l'agent utilisateur d'autoriser tout nom de règle unique (quoique la valeur <code>'allow-duplicates'</code> pourrait permettre d'être plus laxiste à l'avenir).</dd> - <dt><code>'none'</code></dt> - <dd>Interdit la création de toute règle de Trusted Type (identique au fait de ne renseigner aucun nom de règle).</dd> - <dt><code>'allow-duplicates'</code></dt> - <dd>Autorise la création de règles dont le nom a déjà été utilisé.</dd> -</dl> +- \<nomRègle> + - : Un nom de règle est composé de caractères alphanumériques ou d'un ou plusieurs "`-#=_/@.%`". Une astérisque (`*`) comme nom de règle informe l'agent utilisateur d'autoriser tout nom de règle unique (quoique la valeur `'allow-duplicates'` pourrait permettre d'être plus laxiste à l'avenir). +- `'none'` + - : Interdit la création de toute règle de Trusted Type (identique au fait de ne renseigner aucun nom de règle). +- `'allow-duplicates'` + - : Autorise la création de règles dont le nom a déjà été utilisé. -<h2 id="Exemples">Exemples</h2> +## Exemples -<p>Soit l'en-tête CSP :</p> +Soit l'en-tête CSP : -<pre>Content-Security-Policy: trusted-types foo bar 'allow-duplicates';</pre> + Content-Security-Policy: trusted-types foo bar 'allow-duplicates'; -<p>Ce code génèrera une erreur car une des règles créées a un nom non autorisé :</p> +Ce code génèrera une erreur car une des règles créées a un nom non autorisé : -<pre class="brush: js">if (typeof trustedTypes !== 'undefined') { +```js +if (typeof trustedTypes !== 'undefined') { const policyFoo = trustedTypes.createPolicy('foo', {}); const policyFoo2 = trustedTypes.createPolicy('foo', {}); const policyBaz = trustedTypes.createPolicy('baz', {}); // Throws and dispatches a SecurityPolicyViolationEvent. } -</pre> +``` -<h2 id="Prothèse_démulation">Prothèse d'émulation</h2> +## Prothèse d'émulation -<p>Un <a href="https://github.com/w3c/webappsec-trusted-types#polyfill">prothèse d'émulation pour les Trusted Types</a> est disponible sur Github.</p> +Un [prothèse d'émulation pour les Trusted Types](https://github.com/w3c/webappsec-trusted-types#polyfill) est disponible sur Github. -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td><a href="https://w3c.github.io/webappsec-trusted-types/dist/spec/">Trusted Types</a></td> - <td>Draft</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------- | ------ | -------------------- | +| [Trusted Types](https://w3c.github.io/webappsec-trusted-types/dist/spec/) | Draft | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs +{{Compat("http.headers.csp.Content-Security-Policy.trusted-types")}} +## Voir aussi -<p>{{Compat("http.headers.csp.Content-Security-Policy.trusted-types")}}</p> - -<h2 id="Voir_aussi">Voir aussi</h2> - -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li><a href="/en-US/docs/Glossary/Cross-site_scripting">Cross-Site Scripting (XSS)</a></li> - <li><a href="https://web.dev/trusted-types">Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types</a></li> - <li>Trusted Types with <a href="https://github.com/cure53/DOMPurify#what-about-dompurify-and-trusted-types">DOMPurify</a> XSS sanitizer</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- [Cross-Site Scripting (XSS)](/en-US/docs/Glossary/Cross-site_scripting) +- [Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types](https://web.dev/trusted-types) +- Trusted Types with [DOMPurify](https://github.com/cure53/DOMPurify#what-about-dompurify-and-trusted-types) XSS sanitizer diff --git a/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.md b/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.md index 3b0defb999..8fed1ecd6c 100644 --- a/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.md +++ b/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.md @@ -15,82 +15,74 @@ tags: - upgrade-insecure-requests translation_of: Web/HTTP/Headers/Content-Security-Policy/upgrade-insecure-requests --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>upgrade-insecure-requests</strong></code> informe l'agent utilisateur de traiter toutes les URL non sécurisées d'un site (servies avec HTTP) comme si elles avaient été remplacées par des URL sécurisées (servies avec HTTPS). Cette directive est prévue pour les sites web ayant un grand nombre d'URL non sécurisées héritées du passé et qui ont besoin d'être récrites.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`upgrade-insecure-requests`** informe l'agent utilisateur de traiter toutes les URL non sécurisées d'un site (servies avec HTTP) comme si elles avaient été remplacées par des URL sécurisées (servies avec HTTPS). Cette directive est prévue pour les sites web ayant un grand nombre d'URL non sécurisées héritées du passé et qui ont besoin d'être récrites. -<div class="notecard note"> - <p><strong>Note :</strong> La directive <code>upgrade-insecure-requests</code> est évaluée avant la directive {{CSP("block-all-mixed-content")}} et si cette elle est définie, cette dernière est effectivement ignorée. Il est recommendé de ne définir que l'une des deux directives mais non les deux, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.</p> -</div> +> **Note :** La directive `upgrade-insecure-requests` est évaluée avant la directive {{CSP("block-all-mixed-content")}} et si cette elle est définie, cette dernière est effectivement ignorée. Il est recommendé de ne définir que l'une des deux directives mais non les deux, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP. -<p>The <code>upgrade-insecure-requests</code> directive will not ensure that users visiting your site via links on third-party sites will be upgraded to HTTPS for the top-level navigation and thus does not replace the {{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}}) header, which should still be set with an appropriate <code>max-age</code> to ensure that users are not subject to SSL stripping attacks.</p> +The `upgrade-insecure-requests` directive will not ensure that users visiting your site via links on third-party sites will be upgraded to HTTPS for the top-level navigation and thus does not replace the {{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}}) header, which should still be set with an appropriate `max-age` to ensure that users are not subject to SSL stripping attacks. -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Content-Security-Policy: upgrade-insecure-requests;</pre> + Content-Security-Policy: upgrade-insecure-requests; -<h2 id="Exemples">Exemples</h2> +## Exemples -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre>Content-Security-Policy: upgrade-insecure-requests; -</pre> + Content-Security-Policy: upgrade-insecure-requests; -<p>Et cette balise meta :</p> +Et cette balise meta : -<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"></pre> +```html +<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"> +``` -<p>Avec cet en-tête défini sur le domaine example.com voulant migrer d'HTTP à HTTPS, les requêtes pour des ressources non sécurisées et non navigationnelles sont automatiquement converties (qu'elles soient internes ou externes).</p> +Avec cet en-tête défini sur le domaine example.com voulant migrer d'HTTP à HTTPS, les requêtes pour des ressources non sécurisées et non navigationnelles sont automatiquement converties (qu'elles soient internes ou externes). -<pre class="brush: html"><img src="http://example.com/image.png"> -<img src="http://not-example.com/image.png"></pre> +```html +<img src="http://example.com/image.png"> +<img src="http://not-example.com/image.png"> +``` -<p>Ces URL seront récrites avant que la requête soit envoyée, signifiant qu'aucune requête non sécurisée ne sera envoyée. Notez que si la ressource demandée n'est pas actuellement disponible via HTTPS, la requête échouera sans se rabattre sur HTTP.</p> +Ces URL seront récrites avant que la requête soit envoyée, signifiant qu'aucune requête non sécurisée ne sera envoyée. Notez que si la ressource demandée n'est pas actuellement disponible via HTTPS, la requête échouera sans se rabattre sur HTTP. -<pre class="brush: html"><img src="https://example.com/image.png"> -<img src="https://not-example.com/image.png"></pre> +```html +<img src="https://example.com/image.png"> +<img src="https://not-example.com/image.png"> +``` -<p>Les conversions navigationnelles vers des ressources externes amènent un risque significatif de dysfonctionnement étant donné que des requêtes peuvent n'être pas converties, par exemple celles-ci :</p> +Les conversions navigationnelles vers des ressources externes amènent un risque significatif de dysfonctionnement étant donné que des requêtes peuvent n'être pas converties, par exemple celles-ci : -<pre class="brush: html"><a href="https://example.com/">Home</a> -<a href="http://not-example.com/">Home</a></pre> +```html +<a href="https://example.com/">Home</a> +<a href="http://not-example.com/">Home</a> +``` -<h3 id="Identifier_des_requêtes_non_sécurisées">Identifier des requêtes non sécurisées</h3> +### Identifier des requêtes non sécurisées -<p>À l'aide de l'en-tête {{HTTPHeader("Content-Security-Policy-Report-Only")}} et de la directive {{CSP("report-uri")}}, vous pouvez mettre en place une stratégie de rapportage de violations sans bloquage conjointement à une stratégie de conversion comme :</p> +À l'aide de l'en-tête {{HTTPHeader("Content-Security-Policy-Report-Only")}} et de la directive {{CSP("report-uri")}}, vous pouvez mettre en place une stratégie de rapportage de violations sans bloquage conjointement à une stratégie de conversion comme : -<pre>Content-Security-Policy: upgrade-insecure-requests; default-src https: -Content-Security-Policy-Report-Only: default-src https:; report-uri /endpoint</pre> + Content-Security-Policy: upgrade-insecure-requests; default-src https: + Content-Security-Policy-Report-Only: default-src https:; report-uri /endpoint -<p>De cette manière, vous convertirez toujours les requêtes non sécurisées sur votre site sécurisé mais la stratégie de rapportage identifiera les requêtes non sécurisées et les rapportera à l'adresse fournie.</p> +De cette manière, vous convertirez toujours les requêtes non sécurisées sur votre site sécurisé mais la stratégie de rapportage identifiera les requêtes non sécurisées et les rapportera à l'adresse fournie. -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{specName("Upgrade Insecure Requests", "#delivery", "upgrade-insecure-requests")}}</td> - <td>{{Spec2('Upgrade Insecure Requests')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| ---------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------- | -------------------- | +| {{specName("Upgrade Insecure Requests", "#delivery", "upgrade-insecure-requests")}} | {{Spec2('Upgrade Insecure Requests')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.upgrade-insecure-requests")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.upgrade-insecure-requests")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTTPHeader("Upgrade-Insecure-Requests")}} header</li> - <li>{{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}}) header</li> - <li>{{CSP("block-all-mixed-content")}}</li> - <li><a href="/en-US/docs/Web/Security/Mixed_content">Mixed content</a></li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTTPHeader("Upgrade-Insecure-Requests")}} header +- {{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}}) header +- {{CSP("block-all-mixed-content")}} +- [Mixed content](/en-US/docs/Web/Security/Mixed_content) diff --git a/files/fr/web/http/headers/content-security-policy/worker-src/index.md b/files/fr/web/http/headers/content-security-policy/worker-src/index.md index fd9ee4f21f..61f848fbeb 100644 --- a/files/fr/web/http/headers/content-security-policy/worker-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/worker-src/index.md @@ -11,88 +11,88 @@ tags: - Sécurité translation_of: Web/HTTP/Headers/Content-Security-Policy/worker-src --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>worker-src</strong></code> spécifie les sources valides pour les scripts {{domxref("Worker")}}, {{domxref("SharedWorker")}} et {{domxref("ServiceWorker")}}.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`worker-src`** spécifie les sources valides pour les scripts {{domxref("Worker")}}, {{domxref("SharedWorker")}} et {{domxref("ServiceWorker")}}. <table class="properties"> - <tbody> - <tr> - <th scope="row">Version de CSP</th> - <td>3</td> - </tr> - <tr> - <th scope="row">Type de directive</th> - <td>{{Glossary("Fetch directive")}}</td> - </tr> - <tr> - <th scope="row">Valeur par défaut</th> - <td> - <p>Si cette directive est absente, l'agent utilisateur consultera d'abord la directive {{CSP("child-src")}}, puis la directive {{CSP("script-src")}} et enfin la directive {{CSP("default-src")}}, concernant la gestion l'exécution des workers.</p> - - <p>Chrome 59 et plus ne consultent pas la directive {{CSP("child-src")}}.</p> - - <p>Edge 17 ne consulte pas la directive {{CSP("script-src")}} (<a href="https://developer.microsoft.com/en-us/microsoft-edge/platform/issues/17415478/">bug</a>).</p> - </td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Version de CSP</th> + <td>3</td> + </tr> + <tr> + <th scope="row">Type de directive</th> + <td>{{Glossary("Fetch directive")}}</td> + </tr> + <tr> + <th scope="row">Valeur par défaut</th> + <td> + <p> + Si cette directive est absente, l'agent utilisateur consultera d'abord + la directive {{CSP("child-src")}}, puis la directive + {{CSP("script-src")}} et enfin la directive + {{CSP("default-src")}}, concernant la gestion l'exécution des + workers. + </p> + <p> + Chrome 59 et plus ne consultent pas la directive + {{CSP("child-src")}}. + </p> + <p> + Edge 17 ne consulte pas la directive {{CSP("script-src")}} (<a + href="https://developer.microsoft.com/en-us/microsoft-edge/platform/issues/17415478/" + >bug</a + >). + </p> + </td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> +Une ou plusieurs sources peuvent être autorisées pour cette directive : -<pre class="syntaxbox">Content-Security-Policy: worker-src <source>; -Content-Security-Policy: worker-src <source> <source>; -</pre> + Content-Security-Policy: worker-src <source>; + Content-Security-Policy: worker-src <source> <source>; -<h3 id="Sources">Sources</h3> +### Sources -<p>{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}</p> +{{page("fr/Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}} -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Cas_de_violation">Cas de violation</h3> +### Cas de violation -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre class="brush: bash">Content-Security-Policy: worker-src https://example.com/</pre> +```bash +Content-Security-Policy: worker-src https://example.com/ +``` -<p>{{domxref("Worker")}}, {{domxref("SharedWorker")}} et {{domxref("ServiceWorker")}} seront bloqués et ne se chargeront pas :</p> +{{domxref("Worker")}}, {{domxref("SharedWorker")}} et {{domxref("ServiceWorker")}} seront bloqués et ne se chargeront pas : -<pre class="brush: html"><script> +```html +<script> var blockedWorker = new Worker("data:application/javascript,..."); blockedWorker = new SharedWorker("https://not-example.com/"); navigator.serviceWorker.register('https://not-example.com/sw.js'); -</script></pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{specName("CSP 3.0", "#directive-worker-src", "worker-src")}}</td> - <td>{{Spec2('CSP 3.0')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +</script> +``` + +## Spécifications + +| Spécification | Statut | Commentaire | +| ------------------------------------------------------------------------------------ | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-worker-src", "worker-src")}} | {{Spec2('CSP 3.0')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.worker-src")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.worker-src")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li><a href="/docs/Web/API/Web_Workers_API/Using_web_workers#Content_security_policy">CSP for Web Workers</a></li> - <li>{{domxref("Worker")}}, {{domxref("SharedWorker")}}, {{domxref("ServiceWorker")}}</li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- [CSP for Web Workers](/docs/Web/API/Web_Workers_API/Using_web_workers#Content_security_policy) +- {{domxref("Worker")}}, {{domxref("SharedWorker")}}, {{domxref("ServiceWorker")}} diff --git a/files/fr/web/http/headers/content-type/index.md b/files/fr/web/http/headers/content-type/index.md index 18b02ea29b..98180e8867 100644 --- a/files/fr/web/http/headers/content-type/index.md +++ b/files/fr/web/http/headers/content-type/index.md @@ -7,109 +7,92 @@ tags: - en-tête translation_of: Web/HTTP/Headers/Content-Type --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête <strong><code>Content-Type</code></strong> sert à indiquer le type MIME de la ressource.</p> +L'en-tête **`Content-Type`** sert à indiquer le type MIME de la ressource. -<p>Dans les réponses, un en-tête <code>Content-Type</code> indique au client le type de contenu réellement renvoyé. Il peut arriver que les navigateurs cherchent à détecter le type MIME du contenu en l'inspectant plutôt qu'en respectant la valeur de cet en-tête. Pour empêcher ce comportement, on peut paramétrer l'en-tête {{HTTPHeader("X-Content-Type-Options")}} avec la valeur <code>nosniff</code>.</p> +Dans les réponses, un en-tête `Content-Type` indique au client le type de contenu réellement renvoyé. Il peut arriver que les navigateurs cherchent à détecter le type MIME du contenu en l'inspectant plutôt qu'en respectant la valeur de cet en-tête. Pour empêcher ce comportement, on peut paramétrer l'en-tête {{HTTPHeader("X-Content-Type-Options")}} avec la valeur `nosniff`. -<p>Dans les requêtes, (telles que {{HTTPMethod("POST")}} ou {{HTTPMethod("PUT")}}), le client indique au serveur quel type de données a réellement été envoyé.</p> +Dans les requêtes, (telles que {{HTTPMethod("POST")}} ou {{HTTPMethod("PUT")}}), le client indique au serveur quel type de données a réellement été envoyé. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>En-tête d'entité</td> - </tr> - <tr> - <th scope="row">Nom d'en-tête interdit</th> - <td>Non</td> - </tr> - <tr> - <th scope="row">En-tête de réponse simple pour le CORS</th> - <td>Oui</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>En-tête d'entité</td> + </tr> + <tr> + <th scope="row">Nom d'en-tête interdit</th> + <td>Non</td> + </tr> + <tr> + <th scope="row">En-tête de réponse simple pour le CORS</th> + <td>Oui</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Content-Type: text/html; charset=utf-8 -Content-Type: multipart/form-data; boundary=something -</pre> + Content-Type: text/html; charset=utf-8 + Content-Type: multipart/form-data; boundary=something -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><code>media-type</code></dt> - <dd>Le <a href="/fr/docs/Web/HTTP/Basics_of_HTTP/MIME_types">type MIME</a> de la ressource ou des données.</dd> - <dt><code>charset</code></dt> - <dd>L'encodage utilisé pour les caractères des données.</dd> - <dt><code>boundary</code></dt> - <dd>Pour les entités fragmentées (<em>multipart</em>), la directive <code>boundary</code> est nécessaire. Elle ne se termine pas par un espace et est composée de 1 à 70 caractères qui proviennent d'un ensemble de caractères connus pour ne pas être transformés/modifiés par les différents composants au travers desquels transitent les emails. Cette directive est utilisée afin d'encapsuler les limites des différents fragments d'un message fragmenté.</dd> -</dl> +- `media-type` + - : Le [type MIME](/fr/docs/Web/HTTP/Basics_of_HTTP/MIME_types) de la ressource ou des données. +- `charset` + - : L'encodage utilisé pour les caractères des données. +- `boundary` + - : Pour les entités fragmentées (_multipart_), la directive `boundary` est nécessaire. Elle ne se termine pas par un espace et est composée de 1 à 70 caractères qui proviennent d'un ensemble de caractères connus pour ne pas être transformés/modifiés par les différents composants au travers desquels transitent les emails. Cette directive est utilisée afin d'encapsuler les limites des différents fragments d'un message fragmenté. -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Content-Type_dans_les_formulaires_HTML"><code>Content-Type</code> dans les formulaires HTML</h3> +### `Content-Type` dans les formulaires HTML -<p>Dans une requête {{HTTPMethod("POST")}}, qui vient d'une soumission d'un formulaire HTML, le <code>Content-Type</code> de la requête est précisé par l'attribut <code>enctype</code> de l'élément {{HTMLElement("form")}}.</p> +Dans une requête {{HTTPMethod("POST")}}, qui vient d'une soumission d'un formulaire HTML, le `Content-Type` de la requête est précisé par l'attribut `enctype` de l'élément {{HTMLElement("form")}}. -<pre class="brush: html"><form action="/" method="post" enctype="multipart/form-data"> - <input type="text" name="description" value="du texte"> - <input type="file" name="monFichier"> - <button type="submit">Envoyer</button> -</form> -</pre> +```html +<form action="/" method="post" enctype="multipart/form-data"> + <input type="text" name="description" value="du texte"> + <input type="file" name="monFichier"> + <button type="submit">Envoyer</button> +</form> +``` -<p>La requête ressemble à peu près à ceci (les en-têtes moins intéressants ont été ici volontairement omis) :</p> +La requête ressemble à peu près à ceci (les en-têtes moins intéressants ont été ici volontairement omis) : -<pre>POST /toto HTTP/1.1 -Content-Length: 68137 -Content-Type: multipart/form-data; boundary=---------------------------974767299852498929531610575 -Content-Disposition: form-data; name="description" + POST /toto HTTP/1.1 + Content-Length: 68137 + Content-Type: multipart/form-data; boundary=---------------------------974767299852498929531610575 + Content-Disposition: form-data; name="description" ----------------------------974767299852498929531610575 + ---------------------------974767299852498929531610575 -du texte par ici + du texte par ici ----------------------------974767299852498929531610575 -Content-Disposition: form-data; name="monFichier"; filename="toto.txt" -Content-Type: text/plain + ---------------------------974767299852498929531610575 + Content-Disposition: form-data; name="monFichier"; filename="toto.txt" + Content-Type: text/plain -(contenu du fichier envoyé en ligne toto.txt) + (contenu du fichier envoyé en ligne toto.txt) ----------------------------974767299852498929531610575 -</pre> + ---------------------------974767299852498929531610575 -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7233", "Content-Type in multipart", "4.1")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Range Requests</td> - </tr> - <tr> - <td>{{RFC("7231", "Content-Type", "3.1.1.5")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content</td> - </tr> - </tbody> -</table> +| Spécification | Titre | +| -------------------------------------------------------------------- | ------------------------------------------------------------- | +| {{RFC("7233", "Content-Type in multipart", "4.1")}} | Hypertext Transfer Protocol (HTTP/1.1): Range Requests | +| {{RFC("7231", "Content-Type", "3.1.1.5")}} | Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content | -<h2 id="Compatibilité_selon_les_navigateurs">Compatibilité selon les navigateurs</h2> +## Compatibilité selon les navigateurs -<p>{{Compat("http/headers/content-type")}}</p> +{{Compat("http/headers/content-type")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Accept")}} et {{HTTPHeader("Accept-Charset")}}</li> - <li>{{HTTPHeader("Content-Disposition")}}</li> - <li>{{HTTPStatus("206")}} <code>Partial Content</code></li> - <li>{{HTTPHeader("X-Content-Type-Options")}}</li> -</ul> +- {{HTTPHeader("Accept")}} et {{HTTPHeader("Accept-Charset")}} +- {{HTTPHeader("Content-Disposition")}} +- {{HTTPStatus("206")}} `Partial Content` +- {{HTTPHeader("X-Content-Type-Options")}} diff --git a/files/fr/web/http/headers/date/index.md b/files/fr/web/http/headers/date/index.md index e882e72fdd..6b505d3f0a 100644 --- a/files/fr/web/http/headers/date/index.md +++ b/files/fr/web/http/headers/date/index.md @@ -3,74 +3,60 @@ title: Date slug: Web/HTTP/Headers/Date translation_of: Web/HTTP/Headers/Date --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête général HTTP <strong><code>Date</code></strong> contient la date et l'heure d'origine du message.</p> +L'en-tête général HTTP **`Date`** contient la date et l'heure d'origine du message. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("General header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name ")}}</th> - <td>oui</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("General header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name ")}}</th> + <td>oui</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Date: <day-name>, <jour> <mois> <année> <heure>:<minute>:<seconde> GMT -</pre> + Date: <day-name>, <jour> <mois> <année> <heure>:<minute>:<seconde> GMT -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><day-name></dt> - <dd>L'un des mots "Mon", "Tue", "Wed", "Thu", "Fri", "Sat" ou "Sun" (sensible à la casse).</dd> - <dt><day></dt> - <dd>Numéro de jour à 2 chiffres, par ex. "04" ou "23".</dd> - <dt>< month></dt> - <dd>L'un des mots "Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" (sensible à la casse).</dd> - <dt>< year></dt> - <dd>Numéro d'année à 4 chiffres, par exemple "1990" ou "2018".</dd> - <dt>< hour></dt> - <dd>Numéro d'heure à 2 chiffres, par exemple "09" or "23".</dd> - <dt>< minute></dt> - <dd>Numéro d'heure à 2 chiffres, par exemple "04" or "59".</dd> - <dt>< second></dt> - <dd>Numéro de seconde à 2 chiffres, par exemple "04" or "59".</dd> - <dt>GMT</dt> - <dd>Temps sur le Méridien de Greenwich. Les dates HTTP sont toujours exprimées en GMT, jamais en heure locale.</dd> -</dl> +- \<day-name> + - : L'un des mots "Mon", "Tue", "Wed", "Thu", "Fri", "Sat" ou "Sun" (sensible à la casse). +- \<day> + - : Numéro de jour à 2 chiffres, par ex. "04" ou "23". +- < month> + - : L'un des mots "Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" (sensible à la casse). +- < year> + - : Numéro d'année à 4 chiffres, par exemple "1990" ou "2018". +- < hour> + - : Numéro d'heure à 2 chiffres, par exemple "09" or "23". +- < minute> + - : Numéro d'heure à 2 chiffres, par exemple "04" or "59". +- < second> + - : Numéro de seconde à 2 chiffres, par exemple "04" or "59". +- GMT + - : Temps sur le Méridien de Greenwich. Les dates HTTP sont toujours exprimées en GMT, jamais en heure locale. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Date: Wed, 21 Oct 2015 07:28:00 GMT</pre> + Date: Wed, 21 Oct 2015 07:28:00 GMT -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécifications</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7231", "Date", "7.1.1.2")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1) : Sémantique et contenu</td> - </tr> - </tbody> -</table> +| Spécifications | Titre | +| -------------------------------------------- | -------------------------------------------------------------- | +| {{RFC("7231", "Date", "7.1.1.2")}} | Hypertext Transfer Protocol (HTTP/1.1) : Sémantique et contenu | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Date")}}</p> +{{Compat("http.headers.Date")}} -<h2 id="See_also">See also</h2> +## See also -<ul> - <li>{{HTTPHeader("Age")}}</li> -</ul> +- {{HTTPHeader("Age")}} diff --git a/files/fr/web/http/headers/dnt/index.md b/files/fr/web/http/headers/dnt/index.md index 225e0911e2..a54c4988d5 100644 --- a/files/fr/web/http/headers/dnt/index.md +++ b/files/fr/web/http/headers/dnt/index.md @@ -3,79 +3,63 @@ title: DNT slug: Web/HTTP/Headers/DNT translation_of: Web/HTTP/Headers/DNT --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>Le header de requête <strong><code>DNT</code></strong> (<strong>D</strong>o <strong>N</strong>ot <strong>T</strong>rack) indique que les préférences de l'utilisateur concernant le suivi publicitaire. Il permet aux utilisateurs d'indiquer s'ils préfèrent leur vie privée au lieu d'un contenu personnalisé.</p> +Le header de requête **`DNT`** (**D**o **N**ot **T**rack) indique que les préférences de l'utilisateur concernant le suivi publicitaire. Il permet aux utilisateurs d'indiquer s'ils préfèrent leur vie privée au lieu d'un contenu personnalisé. <table class="properties"> - <tbody> - <tr> - <th scope="row">Header type</th> - <td>{{Glossary("Request header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>yes</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Header type</th> + <td>{{Glossary("Request header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>yes</td> + </tr> + </tbody> </table> -<h2 id="Syntax">Syntax</h2> +## Syntax -<pre class="syntaxbox">DNT: 0 -DNT: 1 -</pre> + DNT: 0 + DNT: 1 -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt>0</dt> - <dd>L'utilisateur préfère autoriser son suivi sur le site cible.</dd> - <dt>1</dt> - <dd>L'utilisateur préfère ne pas être suivi sur le site cible.</dd> -</dl> +- 0 + - : L'utilisateur préfère autoriser son suivi sur le site cible. +- 1 + - : L'utilisateur préfère ne pas être suivi sur le site cible. -<h2 id="Exemples">Exemples</h2> +## Exemples -<h3 id="Lire_le_statut_Do_Not_Track_avec_JavaScript">Lire le statut Do Not Track avec JavaScript</h3> +### Lire le statut Do Not Track avec JavaScript -<p>La préférence de l'utilisateur pour DNT peut également être lue depuis JavaScript en utilisant la proriété {{domxref("Navigator.doNotTrack")}} :</p> +La préférence de l'utilisateur pour DNT peut également être lue depuis JavaScript en utilisant la proriété {{domxref("Navigator.doNotTrack")}} : -<pre class="brush: js">navigator.doNotTrack; // "0" ou "1"</pre> +```js +navigator.doNotTrack; // "0" ou "1" +``` -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Status</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{SpecName('Tracking','#dnt-header-field', 'DNT Header Field for HTTP Requests')}}</td> - <td>{{Spec2("Tracking")}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Status | Commentaire | +| ------------------------------------------------------------------------------------------------------------ | ---------------------------- | -------------------- | +| {{SpecName('Tracking','#dnt-header-field', 'DNT Header Field for HTTP Requests')}} | {{Spec2("Tracking")}} | Définition initiale. | + +## Compatibilité navigateur + +{{Compat("http.headers.DNT")}} + +## Voyez aussi + +- {{domxref("Navigator.doNotTrack")}} +- {{HTTPHeader("Tk")}} header +- [Do Not Track on Wikipedia](https://en.wikipedia.org/wiki/Do_Not_Track) +- [What Does the "Track" in "Do Not Track" Mean? – EFF](https://www.eff.org/deeplinks/2011/02/what-does-track-do-not-track-mean) +- [donottrack.us](http://donottrack.us/) +- DNT browser settings help: -<h2 id="Compatibilité_navigateur">Compatibilité navigateur</h2> - -<p>{{Compat("http.headers.DNT")}}</p> - -<h2 id="Voyez_aussi">Voyez aussi</h2> - -<ul> - <li>{{domxref("Navigator.doNotTrack")}}</li> - <li>{{HTTPHeader("Tk")}} header</li> - <li><a href="https://en.wikipedia.org/wiki/Do_Not_Track">Do Not Track on Wikipedia</a></li> - <li><a href="https://www.eff.org/deeplinks/2011/02/what-does-track-do-not-track-mean">What Does the "Track" in "Do Not Track" Mean? – EFF</a></li> - <li><a href="http://donottrack.us/">donottrack.us</a></li> - <li>DNT browser settings help: - <ul> - <li><a href="https://www.mozilla.org/en-US/firefox/dnt/">Firefox</a></li> - <li><a href="https://support.google.com/chrome/answer/2790761">Chrome</a></li> - </ul> - </li> -</ul> + - [Firefox](https://www.mozilla.org/en-US/firefox/dnt/) + - [Chrome](https://support.google.com/chrome/answer/2790761) diff --git a/files/fr/web/http/headers/etag/index.md b/files/fr/web/http/headers/etag/index.md index ed941a5b6c..c0ce27dba1 100644 --- a/files/fr/web/http/headers/etag/index.md +++ b/files/fr/web/http/headers/etag/index.md @@ -8,94 +8,78 @@ tags: - header translation_of: Web/HTTP/Headers/ETag --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête de réponse <code>ETag</code> HTTP est un identifiant pour une version spécifique d'une ressource. Il permet aux caches d'être plus efficaces et d'économiser de la bande passante, du fait que le serveur Web n'a pas besoin d'envoyer une réponse complète si le contenu n'a pas changé. Sinon, si le contenu a changé, les etags sont utiles pour empêcher les mises à jour simultanées d'une ressource de s'écraser mutuellement ("collisions en vol").</p> +L'en-tête de réponse `ETag` HTTP est un identifiant pour une version spécifique d'une ressource. Il permet aux caches d'être plus efficaces et d'économiser de la bande passante, du fait que le serveur Web n'a pas besoin d'envoyer une réponse complète si le contenu n'a pas changé. Sinon, si le contenu a changé, les etags sont utiles pour empêcher les mises à jour simultanées d'une ressource de s'écraser mutuellement ("collisions en vol"). -<p>Si la ressource à une URL donnée change, une nouvelle valeur <code>Etag</code> doit être générée. Les Etags sont donc similaires aux empreintes digitales et elles peuvent également être utilisées à des fins de suivi par certains serveurs. Une comparaison entre elles permet de déterminer rapidement si deux représentations d'une ressource sont identiques, mais un serveur de suivi peut également leur imposer de persister indéfiniment.</p> +Si la ressource à une URL donnée change, une nouvelle valeur `Etag` doit être générée. Les Etags sont donc similaires aux empreintes digitales et elles peuvent également être utilisées à des fins de suivi par certains serveurs. Une comparaison entre elles permet de déterminer rapidement si deux représentations d'une ressource sont identiques, mais un serveur de suivi peut également leur imposer de persister indéfiniment. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'entête</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'entête</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">ETag: W/"<etag_value>" -ETag: "<etag_value>" -</pre> + ETag: W/"<etag_value>" + ETag: "<etag_value>" -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><code>W/</code> {{optional_inline}}</dt> - <dd><code>'W/'</code> (sensible à la casse) indique qu'un validateur faible est utilisé. Les validateurs faibles sont faciles à générer, mais ils sont beaucoup moins utiles pour les comparaisons. Les validateurs forts sont idéaux pour les comparaisons, mais ils peuvent être très difficiles à générer efficacement. Les valeurs <code>Etag</code> faibles de deux représentations des mêmes ressources peuvent être sémantiquement équivalentes, mais ne pas être identiques octet par octet.</dd> - <dt><strong>"<etag_value></strong>"</dt> - <dd>Balises d'entité représentant d'une façon unique les ressources demandées. Elles sont consituées d'une chaîne de caractères ASCII placés entre apostrophes doubles (comme <code>"675af34563dc-tr34"</code>). La méthode par laquelle les valeurs <code>ETag</code> sont générées n'est pas spécifiée. Souvent, un hachage du contenu, un hachage de l'horodatage de la dernière modification, ou seulement un numéro de révision est utilisé. Par exemple, MDN utilise un hachage de chiffres hexadécimaux du contenu du wiki.</dd> -</dl> +- `W/` {{optional_inline}} + - : `'W/'` (sensible à la casse) indique qu'un validateur faible est utilisé. Les validateurs faibles sont faciles à générer, mais ils sont beaucoup moins utiles pour les comparaisons. Les validateurs forts sont idéaux pour les comparaisons, mais ils peuvent être très difficiles à générer efficacement. Les valeurs `Etag` faibles de deux représentations des mêmes ressources peuvent être sémantiquement équivalentes, mais ne pas être identiques octet par octet. +- **"\<etag_value>**" + - : Balises d'entité représentant d'une façon unique les ressources demandées. Elles sont consituées d'une chaîne de caractères ASCII placés entre apostrophes doubles (comme `"675af34563dc-tr34"`). La méthode par laquelle les valeurs `ETag` sont générées n'est pas spécifiée. Souvent, un hachage du contenu, un hachage de l'horodatage de la dernière modification, ou seulement un numéro de révision est utilisé. Par exemple, MDN utilise un hachage de chiffres hexadécimaux du contenu du wiki. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>ETag: "33a64df551425fcc55e4d42a148795d9f25f89d4" -ETag: W/"0815"</pre> + ETag: "33a64df551425fcc55e4d42a148795d9f25f89d4" + ETag: W/"0815" -<h3 id="Évitement_des_collisions_en_vol">Évitement des collisions en vol</h3> +### Évitement des collisions en vol -<p>A l'aide des en-têtes <code>ETag</code> et {{HTTPHeader("If-Match")}}, vous pouvez détecter les collisions d'édition en vol.</p> +A l'aide des en-têtes `ETag` et {{HTTPHeader("If-Match")}}, vous pouvez détecter les collisions d'édition en vol. -<p>Par exemple, lors de l'édition de MDN, le contenu actuel du wiki est haché et placé dans un <code>Etag</code> dans la réponse :</p> +Par exemple, lors de l'édition de MDN, le contenu actuel du wiki est haché et placé dans un `Etag` dans la réponse : -<pre>ETag: "33a64df551425fcc55e4d42a148795d9f25f89d4"</pre> + ETag: "33a64df551425fcc55e4d42a148795d9f25f89d4" -<p>Lors de la sauvegarde des modifications d'une page wiki ("post" des données), la requête {{HTTPMethod("POST")}} contiendra l'en-tête {{HTTPHeader("If-Match")}} contenant les valeurs ETag par rapport auxquelles vérifier la péremption.</p> +Lors de la sauvegarde des modifications d'une page wiki ("post" des données), la requête {{HTTPMethod("POST")}} contiendra l'en-tête {{HTTPHeader("If-Match")}} contenant les valeurs ETag par rapport auxquelles vérifier la péremption. -<pre>If-Match: "33a64df551425fcc55e4d42a148795d9f25f89d4"</pre> + If-Match: "33a64df551425fcc55e4d42a148795d9f25f89d4" -<p>Si les hachages ne correspondent pas, cela signifie que le document a été modifié entre-temps, et une erreur {{HTTPStatus("412")}} <code>Precondition Failed</code> est déclenchée.</p> +Si les hachages ne correspondent pas, cela signifie que le document a été modifié entre-temps, et une erreur {{HTTPStatus("412")}} `Precondition Failed` est déclenchée. -<h3 id="Mise_en_cache_des_ressources_inchangées">Mise en cache des ressources inchangées</h3> +### Mise en cache des ressources inchangées -<p>Un autre cas d'utilisation typique de l'en-tête <code>ETag</code> est de mettre en cache les ressources qui sont inchangées. Si un utilisateur visite à nouveau une URL donnée (qui a un ensemble d'<code>ETag</code>), et qu'elle est <em>périmée</em>, c'est à dire, trop ancienne pour être considérée comme utilisable, le client enverra en même temps la valeur de son <code>ETag</code> dans un champ d'en-tête {{HTTPHeader("If-None-Match")}} :</p> +Un autre cas d'utilisation typique de l'en-tête `ETag` est de mettre en cache les ressources qui sont inchangées. Si un utilisateur visite à nouveau une URL donnée (qui a un ensemble d'`ETag`), et qu'elle est _périmée_, c'est à dire, trop ancienne pour être considérée comme utilisable, le client enverra en même temps la valeur de son `ETag` dans un champ d'en-tête {{HTTPHeader("If-None-Match")}} : -<pre>If-None-Match: "33a64df551425fcc55e4d42a148795d9f25f89d4"</pre> + If-None-Match: "33a64df551425fcc55e4d42a148795d9f25f89d4" -<p>Le serveur comparera l'<code>ETag</code> du client (envoyé avec <code>If-None-Match</code>) à l'<code>ETag</code> de sa version en cours de la ressource, et si les deux valeurs correspondent (c'est-à-dire que la ressource n'a pas changé), le serveur renverra un statut {{HTTPStatus( "304")}} Not Modified, sans aucun corps, qui indiquera au client que sa version mise en cache de la réponse est toujours bonne à utiliser (actuelle).</p> +Le serveur comparera l'`ETag` du client (envoyé avec `If-None-Match`) à l'`ETag` de sa version en cours de la ressource, et si les deux valeurs correspondent (c'est-à-dire que la ressource n'a pas changé), le serveur renverra un statut {{HTTPStatus( "304")}} Not Modified, sans aucun corps, qui indiquera au client que sa version mise en cache de la réponse est toujours bonne à utiliser (actuelle). -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7232", "ETag", "2.3")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests</td> - </tr> - </tbody> -</table> +| Spécification | Titre | +| ---------------------------------------- | ------------------------------------------------------------ | +| {{RFC("7232", "ETag", "2.3")}} | Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.ETag")}}</p> +{{Compat("http.headers.ETag")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("If-Match")}}</li> - <li>{{HTTPHeader("If-None-Match")}}</li> - <li>{{HTTPStatus("304")}}<code> Not Modified</code></li> - <li>{{HTTPStatus("412")}}<code> Precondition Failed</code></li> - <li> - <p><a href="https://www.w3.org/1999/04/Editing/">W3C Note: Editing the Web – Detecting the Lost Update Problem Using Unreserved Checkout</a></p> - </li> -</ul> +- {{HTTPHeader("If-Match")}} +- {{HTTPHeader("If-None-Match")}} +- {{HTTPStatus("304")}}` Not Modified` +- {{HTTPStatus("412")}}` Precondition Failed` +- [W3C Note: Editing the Web – Detecting the Lost Update Problem Using Unreserved Checkout](https://www.w3.org/1999/04/Editing/) diff --git a/files/fr/web/http/headers/expires/index.md b/files/fr/web/http/headers/expires/index.md index 99e9e44e7a..4c8a3935f9 100644 --- a/files/fr/web/http/headers/expires/index.md +++ b/files/fr/web/http/headers/expires/index.md @@ -3,71 +3,57 @@ title: Expires slug: Web/HTTP/Headers/Expires translation_of: Web/HTTP/Headers/Expires --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>Le header <code><strong>Expires</strong></code> contient la date/heure après laquelle la réponse est considérée comme dépréciée.</p> +Le header **`Expires`** contient la date/heure après laquelle la réponse est considérée comme dépréciée. -<p>Les dates invalides, telles que la valeur 0, représentent une date dans le passé et signifient que la ressource est expirée.</p> +Les dates invalides, telles que la valeur 0, représentent une date dans le passé et signifient que la ressource est expirée. -<p>Si un header {{HTTPHeader("Cache-Control")}} contient une directive "max-age" ou "s-max-age" dans la réponse, le header <code>Expires</code> sera ignoré.</p> +Si un header {{HTTPHeader("Cache-Control")}} contient une directive "max-age" ou "s-max-age" dans la réponse, le header `Expires` sera ignoré. <table class="properties"> - <tbody> - <tr> - <th scope="row">Header type</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>no</td> - </tr> - <tr> - <th scope="row">{{Glossary("Simple response header", "CORS-safelisted response-header")}}</th> - <td>yes</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Header type</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>no</td> + </tr> + <tr> + <th scope="row"> + {{Glossary("Simple response header", "CORS-safelisted response-header")}} + </th> + <td>yes</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Expires: <http-date> -</pre> + Expires: <http-date> -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><http-date></dt> - <dd> - <p>An HTTP-date timestamp.</p> - </dd> -</dl> +- \<http-date> + - : An HTTP-date timestamp. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Expires: Wed, 21 Oct 2015 07:28:00 GMT</pre> + Expires: Wed, 21 Oct 2015 07:28:00 GMT -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Specification</th> - <th scope="col">Title</th> - </tr> - <tr> - <td>{{RFC("7234", "Expires", "5.3")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Caching</td> - </tr> - </tbody> -</table> +| Specification | Title | +| -------------------------------------------- | ----------------------------------------------- | +| {{RFC("7234", "Expires", "5.3")}} | Hypertext Transfer Protocol (HTTP/1.1): Caching | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Expires")}}</p> +{{Compat("http.headers.Expires")}} -<h2 id="See_also">See also</h2> +## See also -<ul> - <li>{{HTTPHeader("Cache-Control")}}</li> - <li>{{HTTPHeader("Age")}}</li> -</ul> +- {{HTTPHeader("Cache-Control")}} +- {{HTTPHeader("Age")}} diff --git a/files/fr/web/http/headers/feature-policy/accelerometer/index.md b/files/fr/web/http/headers/feature-policy/accelerometer/index.md index 20d123a97b..4f11cbceb5 100644 --- a/files/fr/web/http/headers/feature-policy/accelerometer/index.md +++ b/files/fr/web/http/headers/feature-policy/accelerometer/index.md @@ -10,55 +10,34 @@ tags: - Reference translation_of: Web/HTTP/Headers/Feature-Policy/accelerometer --- -<p>{{HTTPSidebar}} {{SeeCompatTable}}</p> +{{HTTPSidebar}} {{SeeCompatTable}} -<p>La directive <code>accelerometer</code> de l'en-tête HTTP {{HTTPHeader('Feature-Policy')}} contrôle la possibilité pour le document courant de recueillir des informations à propos de l'accélération de l'appareil au moyen de l'interface {{domxref('Accelerometer')}}.</p> +La directive `accelerometer` de l'en-tête HTTP {{HTTPHeader('Feature-Policy')}} contrôle la possibilité pour le document courant de recueillir des informations à propos de l'accélération de l'appareil au moyen de l'interface {{domxref('Accelerometer')}}. -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre>Feature-Policy: accelerometer <listePermissions>;</pre> + Feature-Policy: accelerometer <listePermissions>; -<dl> - <dt><listePermissions></dt> - <dd>{{page('fr/Web/HTTP/Feature_Policy/Using_Feature_Policy', 'allowlist')}}</dd> -</dl> +- \<listePermissions> + - : {{page('fr/Web/HTTP/Feature_Policy/Using_Feature_Policy', 'allowlist')}} -<h2 id="Valeur_par_défaut">Valeur par défaut</h2> +## Valeur par défaut -<p>La valeur par défaut est <code>'self'</code>.</p> +La valeur par défaut est `'self'`. -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">État</th> - <th scope="col">Commentaire</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{SpecName('Feature Policy')}}</td> - <td>{{Spec2('Feature Policy')}}</td> - <td>Définition initiale.</td> - </tr> - <tr> - <td>{{SpecName('Accelerometer','#accelerometer-interface','Accelerometer')}}</td> - <td>{{Spec2('Accelerometer')}}</td> - <td></td> - </tr> - </tbody> -</table> +| Spécification | État | Commentaire | +| ------------------------------------------------------------------------------------------------ | ------------------------------------ | -------------------- | +| {{SpecName('Feature Policy')}} | {{Spec2('Feature Policy')}} | Définition initiale. | +| {{SpecName('Accelerometer','#accelerometer-interface','Accelerometer')}} | {{Spec2('Accelerometer')}} | | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat('http.headers.Feature-Policy.accelerometer')}}</p> +{{Compat('http.headers.Feature-Policy.accelerometer')}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>en-tête {{HTTPHeader('Feature-Policy')}}</li> - <li><a href="/en-US/docs/Web/HTTP/Feature_Policy">Feature Policy</a></li> - <li><a href="/en-US/docs/Web/HTTP/Feature_Policy/Using_Feature_Policy">Utiliser Feature Policy</a></li> -</ul> +- en-tête {{HTTPHeader('Feature-Policy')}} +- [Feature Policy](/en-US/docs/Web/HTTP/Feature_Policy) +- [Utiliser Feature Policy](/en-US/docs/Web/HTTP/Feature_Policy/Using_Feature_Policy) diff --git a/files/fr/web/http/headers/feature-policy/index.md b/files/fr/web/http/headers/feature-policy/index.md index 355056996d..fd3b52178a 100644 --- a/files/fr/web/http/headers/feature-policy/index.md +++ b/files/fr/web/http/headers/feature-policy/index.md @@ -14,148 +14,131 @@ tags: - header translation_of: Web/HTTP/Headers/Feature-Policy --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête HTTP <strong><code>Feature-Policy</code></strong> est un mécanisme permettant de permettre ou d'interdire l'utilisation de fonctionnalités du navigateur dans son propre cadre et dans ceux de tous les éléments {{HTMLElement("iframe")}} que le document contient.</p> +L'en-tête HTTP **`Feature-Policy`** est un mécanisme permettant de permettre ou d'interdire l'utilisation de fonctionnalités du navigateur dans son propre cadre et dans ceux de tous les éléments {{HTMLElement("iframe")}} que le document contient. -<div class="note"> -<p><strong>Note :</strong> Cet en-tête est toujours au stade expérimental, et est sujet à être modifié à tout moment. Méfiez-vous en si vous souhaitez l'implanter sur vos sites. Il a maintenant été renommé <code>Permissions-Policy</code> dans la spécification, et cet article sera mis à jour pour refléter ce changement.</p> -</div> +> **Note :** Cet en-tête est toujours au stade expérimental, et est sujet à être modifié à tout moment. Méfiez-vous en si vous souhaitez l'implanter sur vos sites. Il a maintenant été renommé `Permissions-Policy` dans la spécification, et cet article sera mis à jour pour refléter ce changement. -<p>Pour plus d'informations, vour l'article principal sur <a href="/docs/Web/HTTP/Feature_Policy">Feature Policy</a>.</p> +Pour plus d'informations, vour l'article principal sur [Feature Policy](/docs/Web/HTTP/Feature_Policy). <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>oui</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>oui</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> - -<pre class="syntaxbox">Feature-Policy: <directive> <allowlist></pre> - -<dl> - <dt><code><directive></code></dt> - <dd>La directive de Feature Policy sur laquelle appliquer la liste de permissions <code>allowlist</code>. Voir {{anch("Directives")}} ci-dessous pour une liste des noms de directives autorisés.</dd> - <dt><code><allowlist></code></dt> - <dd>{{page("Web/HTTP/Feature_Policy/Using_Feature_Policy", "allowlist")}}</dd> -</dl> - -<h2 id="Directives">Directives</h2> - -<dl> - <dt>{{httpheader('Feature-Policy/accelerometer','accelerometer')}}</dt> - <dd>Contrôle si le document courant est autorisé à recueillir des informations à propos de l'accélération de l'appareil au moyen de l'interface {{DOMxRef("Accelerometer")}}.</dd> - <dt>{{httpheader('Feature-Policy/ambient-light-sensor','ambient-light-sensor')}}</dt> - <dd>Contrôle si le le document courant est autorisé à recueillir des informations à propos de la luminosité ambiante de l'appareil au moyen de l'interface {{DOMxRef("AmbientLightSensor")}}.</dd> - <dt>{{httpheader('Feature-Policy/autoplay','autoplay')}}</dt> - <dd>Contrôle si le document courant est autorisé à jouer automatiquement des médias chargés au moyen de l'interface {{domxref("HTMLMediaElement")}}. Quand cette fonctionnalité est désactivée et qu'il n'y a pas eu d'action de la part de l'utilisateur, la promesse ({{jsxref("Promise")}}) retournée par {{domxref("HTMLMediaElement.play()")}} sera rejetée avec une exception {{domxref("DOMException")}}. L'attribut <code>autoplay</code> sur les éléments {{HTMLELement("audio")}} et {{HTMLElement("video")}} sera ignoré.</dd> - <dt>{{httpheader('Feature-Policy/battery','battery')}}</dt> - <dd>Contrôle si l'utilisation de l'<a href="/docs/Web/API/Battery_Status_API">API Battery Status</a> est autorisé. Quand cette fonctionnalité est désactivée, la promesse retournée par {{DOMxRef("Navigator.getBattery","Navigator.getBattery()")}} sera rejetée avec une {{DOMxRef("DOMException")}} {{Exception("NotAllowedError")}}.</dd> - <dt>{{httpheader('Feature-Policy/camera', 'camera')}}</dt> - <dd>Contrôle si le document courant est autorisé à utiliser l'appareil photographique du système. Quand cette fonctionnalité est désactivée, la promesse retournée par {{domxref("MediaDevices.getUserMedia", "getUserMedia()")}} sera rejetée avec une {{DOMxRef("DOMException")}} {{Exception("NotAllowedError")}}.</dd> - <dt>{{HTTPHeader('Feature-Policy/display-capture', 'display-capture')}}</dt> - <dd>Contrôle si le document courant est autorisé ou non à utiliser la méthode {{domxref("MediaDevices.getDisplayMedia", "getDisplayMedia()")}} pour effectuer une capture d'écran. Quand cette fonctionnalité est désactivée, la promesse retounrée par <code>getDisplayMedia()</code> sera rejetée avec une exception {{Exception("NotAllowedError")}} si la permission de prendre une capture d'écran n'est pas obtenue.</dd> - <dt>{{httpheader('Feature-Policy/document-domain','document-domain')}}</dt> - <dd>Contrôle si le document courant est autorisé à définir la propriété {{domxref("document.domain")}}. Quand cette directive est désactivée, tenter de modifier {{domxref("document.domain")}} échouera et lèvera une {{domxref("DOMException")}} {{Exception("SecurityError")}}.</dd> - <dt>{{httpheader('Feature-Policy/encrypted-media', 'encrypted-media')}}</dt> - <dd>Contrôle si le document courant est autorisé à utiliser l'API <a href="/en-US/docs/Web/API/Encrypted_Media_Extensions_API">Encrypted Media Extensions</a> (EME). Quand cette directive est désactivée, la promesse retournée par {{domxref("Navigator.requestMediaKeySystemAccess()")}} sera rejecté avec une {{domxref("DOMException")}}.</dd> - <dt>{{httpheader('Feature-Policy/execution-while-not-rendered', 'execution-while-not-rendered')}}</dt> - <dd>Contrôle si les tâches des cadres doivent être exécutées s'ils ne seront pas rendus à l'écran (par exemple si un <code><iframe></code> est <code><a href="/en-US/docs/Web/HTML/Global_attributes/hidden">hidden</a></code> ou <code>display: none</code>).</dd> - <dt>{{httpheader('Feature-Policy/execution-while-out-of-viewport', 'execution-while-out-of-viewport')}}</dt> - <dd>Contrôle si les tâches des cadres doivent être exécutées quand ils sont en dehors du cadre visible.</dd> -</dl> - -<dl> - <dt>{{httpheader('Feature-Policy/fullscreen','fullscreen')}}</dt> - <dd>Contrôle si le document courant est autorisé à utiliser {{DOMxRef("Element.requestFullScreen()")}}. Quand cette directive est désactivée, la promesse retournée sera rejetée avec une exception {{JSxRef("TypeError")}}.</dd> - <dt>{{httpheader('Feature-Policy/geolocation','geolocation')}}</dt> - <dd>Contrôle si le document courant est autorisé à utiliser l'interface {{domxref('Geolocation')}}. Quand cette directive est désactivée, les appels à {{domxref('Geolocation.getCurrentPosition','getCurrentPosition()')}} et {{domxref('Geolocation.watchPosition','watchPosition()')}} causeront un appel de leurs fonctions de rappel avec une exception {{domxref('PositionError')}} dont le code est <code>PERMISSION_DENIED</code>.</dd> - <dt>{{httpheader('Feature-Policy/gyroscope','gyroscope')}}</dt> - <dd>Contrôle si le document courant est autorisé à recueillir des informations à propos de l'orientation de l'appareil au moyen de l'interface {{DOMxRef("Gyroscope")}}.</dd> - <dt>{{httpheader('Feature-Policy/layout-animations','layout-animations')}}</dt> - <dd>Contrôle si le document courant est autorisé à afficher des animations de mise en page.</dd> -</dl> - -<dl> - <dt>{{httpheader('Feature-Policy/legacy-image-formats','legacy-image-formats')}}</dt> - <dd>Contrôle si le document courant est autorisé à afficher des images dans des formats du passé.</dd> -</dl> - -<dl> - <dt>{{httpheader('Feature-Policy/magnetometer','magnetometer')}}</dt> - <dd>Contrôle si le document courant est autorisé à recueillir des informations à propos de l'orientation au moyen de l'interface {{DOMxRef("Magnetometer")}}.</dd> - <dt>{{httpheader('Feature-Policy/microphone','microphone')}}</dt> - <dd>Contrôle si le document courant est autorisé à utiliser le microphone de l'appareil. Quand cette fonctionnalité est désactivée, la promesse retournée par {{domxref("MediaDevices.getUserMedia()")}} sera rejetée avec une exception {{Exception("NotAllowedError")}}.</dd> - <dt>{{httpheader('Feature-Policy/midi', 'midi')}}</dt> - <dd>Contrôle si le document courant est autorisé à utiliser l'<a href="/en-US/docs/Web/API/Web_MIDI_API">API Web MIDI</a>. Quand cette fonctionnalité est désactivée, la promesse retournée par {{domxref("Navigator.requestMIDIAccess()")}} sera rejetée avec une exception {{domxref("DOMException")}}.</dd> - <dt>{{httpheader('Feature-Policy/navigation-override','navigation-override')}}</dt> - <dd>Contrôle la disponibilité des mécanismes qui permettent à l'auteur de la page de prendre le contrôle sur le comportment de la <a href="https://www.w3.org/TR/css-nav/">navigation spatiale</a>, ou de l'annuler complètement.</dd> - <dt>{{httpheader('Feature-Policy/oversized-images','oversized-images')}}</dt> - <dd>Contrôle si le document courant est autorisé à télécharger et afficher des images lourdes.</dd> - <dt>{{httpheader('Feature-Policy/payment', 'payment')}}</dt> - <dd>Contrôle si le document courant est autorisé à utiliser l'<a href="/en-US/docs/Web/API/Payment_Request_API">API Payment Request</a>. Quand cette directive est désactivée, le constructeur {{domxref("PaymentRequest","PaymentRequest()")}} lèvera une {{domxref("DOMException")}} {{Exception("SecurityError")}}.</dd> - <dt>{{httpheader('Feature-Policy/picture-in-picture', 'picture-in-picture')}}</dt> - <dd>Controls whether the current document is allowed to play a video in a Picture-in-Picture mode via the corresponding API.</dd> - <dt>{{httpheader("Feature-Policy/publickey-credentials-get", "publickey-credentials-get")}}</dt> - <dd>Contrôle si le document courant est autorisé à use the <a href="/en-US/docs/Web/API/Web_Authentication_API">Web Authentication API</a> to retreive already stored public-key credentials, i.e. via {{domxref("CredentialsContainer.get","navigator.credentials.get({publicKey: ..., ...})")}}.</dd> - <dt>{{httpheader('Feature-Policy/sync-xhr', 'sync-xhr')}}</dt> - <dd>Contrôle si le document courant est autorisé à make synchronous {{DOMxRef("XMLHttpRequest")}} requests.</dd> - <dt>{{httpheader('Feature-Policy/usb', 'usb')}}</dt> - <dd>Contrôle si le document courant est autorisé à use the <a href="https://wicg.github.io/webusb/">WebUSB API</a>.</dd> - <dt>{{httpheader('Feature-Policy/vr', 'vr')}} {{deprecated_inline}}</dt> - <dd>Contrôle si le document courant est autorisé à use the <a href="/en-US/docs/Web/API/WebVR_API">WebVR API</a>. Quand cette directive est désactivée, la promesse retournée par {{domxref("Navigator.getVRDisplays","Navigator.getVRDisplays()")}} sera rejetée avec une {{domxref("DOMException")}}. Gardez en tête que la norme WebVR est en cours de remplacement au profit de <a href="/en-US/docs/Web/API/WebXR_Device_API">WebXR</a>.</dd> - <dt>{{httpheader('Feature-Policy/wake-lock', 'wake-lock')}}</dt> - <dd>Contrôle si le document courant est autorisé à utiliser l'<a href="https://www.w3.org/TR/wake-lock/">API Wake Lock</a> pour indiquer que l'appareil ne devrait se mettre en veille.</dd> - <dt>{{httpheader('Feature-Policy/screen-wake-lock', 'screen-wake-lock')}}</dt> - <dd>Contrôle si le document courant est autorisé à utiliser l'<a href="/en-US/docs/Web/API/Screen_Wake_Lock_API">API Screen Wake Lock</a> pour indiquer que l'appareil ne devrait pas assombrir ou éteindre l'écran.</dd> - <dt>{{httpheader("Feature-Policy/web-share", "web-share")}}</dt> - <dd>Contrôle si le document courant est autorisé à utiliser la méthode {{domxref("Navigator.share","Navigator.share()")}} de l'API Web Share pour partager du texte, des liens, des images et d'autres contenus à des destinations arbitraires sur le choix de l'utilisateur, par exemple à des applications mobiles.</dd> - <dt>{{httpheader("Feature-Policy/xr-spatial-tracking", "xr-spatial-tracking")}}</dt> - <dd>Contrôle si le document courant est autorisé à utiliser l'<a href="/en-US/docs/Web/API/WebXR_Device_API">API WebXR Device</a> pour interagir avec une WebXR.</dd> -</dl> - -<h2 id="Exemple">Exemple</h2> - -<p>SecureCorp Inc. souhaite désactiver les API du microphone et de géolocalisation dans son application. Elle peut le faire en délivrant l'en-tête de réponse HTTP suivant pour définir une réglementation des fonctionnalités :</p> - -<pre>Feature-Policy: microphone 'none'; geolocation 'none'</pre> - -<p>En spécifiant la valeur <code>'none'</code> pour liste des origines, les fonctionnalités auquel la valeur est appliquée seront désactivées pour tous les contextes de navigation (incluant tout les cadres <code><iframe></code>), quelle que soit leur origine.</p> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - </tr> - </thead> - <tbody> - <tr> - <td><a href="https://w3c.github.io/webappsec-permissions-policy/#permissions-policy-http-header-field">Permissions Policy</a></td> - </tr> - </tbody> -</table> - -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> - -<p>{{Compat("http.headers.Feature-Policy")}}</p> - -<h2 id="Voir_aussi">Voir aussi</h2> - -<ul> - <li><a href="/en-US/docs/Web/HTTP/Feature_Policy">Feature Policy</a></li> - <li><a href="/en-US/docs/Web/HTTP/Feature_Policy/Using_Feature_Policy">Utiliser Feature Policy</a></li> - <li>{{DOMxRef("Document.featurePolicy")}} and {{DOMxRef("FeaturePolicy")}}</li> - <li><a class="external external-icon" href="https://chrome.google.com/webstore/detail/feature-policy-tester-dev/pchamnkhkeokbpahnocjaeednpbpacop" rel="noopener">Feature-Policy Tester (Chrome Developer Tools extension)</a></li> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTTPHeader("Referrer-Policy")}}</li> -</ul> +## Syntaxe + + Feature-Policy: <directive> <allowlist> + +- `<directive>` + - : La directive de Feature Policy sur laquelle appliquer la liste de permissions `allowlist`. Voir {{anch("Directives")}} ci-dessous pour une liste des noms de directives autorisés. +- `<allowlist>` + - : {{page("Web/HTTP/Feature_Policy/Using_Feature_Policy", "allowlist")}} + +## Directives + +- {{httpheader('Feature-Policy/accelerometer','accelerometer')}} + - : Contrôle si le document courant est autorisé à recueillir des informations à propos de l'accélération de l'appareil au moyen de l'interface {{DOMxRef("Accelerometer")}}. +- {{httpheader('Feature-Policy/ambient-light-sensor','ambient-light-sensor')}} + - : Contrôle si le le document courant est autorisé à recueillir des informations à propos de la luminosité ambiante de l'appareil au moyen de l'interface {{DOMxRef("AmbientLightSensor")}}. +- {{httpheader('Feature-Policy/autoplay','autoplay')}} + - : Contrôle si le document courant est autorisé à jouer automatiquement des médias chargés au moyen de l'interface {{domxref("HTMLMediaElement")}}. Quand cette fonctionnalité est désactivée et qu'il n'y a pas eu d'action de la part de l'utilisateur, la promesse ({{jsxref("Promise")}}) retournée par {{domxref("HTMLMediaElement.play()")}} sera rejetée avec une exception {{domxref("DOMException")}}. L'attribut `autoplay` sur les éléments {{HTMLELement("audio")}} et {{HTMLElement("video")}} sera ignoré. +- {{httpheader('Feature-Policy/battery','battery')}} + - : Contrôle si l'utilisation de l'[API Battery Status](/docs/Web/API/Battery_Status_API) est autorisé. Quand cette fonctionnalité est désactivée, la promesse retournée par {{DOMxRef("Navigator.getBattery","Navigator.getBattery()")}} sera rejetée avec une {{DOMxRef("DOMException")}} {{Exception("NotAllowedError")}}. +- {{httpheader('Feature-Policy/camera', 'camera')}} + - : Contrôle si le document courant est autorisé à utiliser l'appareil photographique du système. Quand cette fonctionnalité est désactivée, la promesse retournée par {{domxref("MediaDevices.getUserMedia", "getUserMedia()")}} sera rejetée avec une {{DOMxRef("DOMException")}} {{Exception("NotAllowedError")}}. +- {{HTTPHeader('Feature-Policy/display-capture', 'display-capture')}} + - : Contrôle si le document courant est autorisé ou non à utiliser la méthode {{domxref("MediaDevices.getDisplayMedia", "getDisplayMedia()")}} pour effectuer une capture d'écran. Quand cette fonctionnalité est désactivée, la promesse retounrée par `getDisplayMedia()` sera rejetée avec une exception {{Exception("NotAllowedError")}} si la permission de prendre une capture d'écran n'est pas obtenue. +- {{httpheader('Feature-Policy/document-domain','document-domain')}} + - : Contrôle si le document courant est autorisé à définir la propriété {{domxref("document.domain")}}. Quand cette directive est désactivée, tenter de modifier {{domxref("document.domain")}} échouera et lèvera une {{domxref("DOMException")}} {{Exception("SecurityError")}}. +- {{httpheader('Feature-Policy/encrypted-media', 'encrypted-media')}} + - : Contrôle si le document courant est autorisé à utiliser l'API [Encrypted Media Extensions](/en-US/docs/Web/API/Encrypted_Media_Extensions_API) (EME). Quand cette directive est désactivée, la promesse retournée par {{domxref("Navigator.requestMediaKeySystemAccess()")}} sera rejecté avec une {{domxref("DOMException")}}. +- {{httpheader('Feature-Policy/execution-while-not-rendered', 'execution-while-not-rendered')}} + - : Contrôle si les tâches des cadres doivent être exécutées s'ils ne seront pas rendus à l'écran (par exemple si un `<iframe>` est [`hidden`](/en-US/docs/Web/HTML/Global_attributes/hidden) ou `display: none`). +- {{httpheader('Feature-Policy/execution-while-out-of-viewport', 'execution-while-out-of-viewport')}} + - : Contrôle si les tâches des cadres doivent être exécutées quand ils sont en dehors du cadre visible. + +<!----> + +- {{httpheader('Feature-Policy/fullscreen','fullscreen')}} + - : Contrôle si le document courant est autorisé à utiliser {{DOMxRef("Element.requestFullScreen()")}}. Quand cette directive est désactivée, la promesse retournée sera rejetée avec une exception {{JSxRef("TypeError")}}. +- {{httpheader('Feature-Policy/geolocation','geolocation')}} + - : Contrôle si le document courant est autorisé à utiliser l'interface {{domxref('Geolocation')}}. Quand cette directive est désactivée, les appels à {{domxref('Geolocation.getCurrentPosition','getCurrentPosition()')}} et {{domxref('Geolocation.watchPosition','watchPosition()')}} causeront un appel de leurs fonctions de rappel avec une exception {{domxref('PositionError')}} dont le code est `PERMISSION_DENIED`. +- {{httpheader('Feature-Policy/gyroscope','gyroscope')}} + - : Contrôle si le document courant est autorisé à recueillir des informations à propos de l'orientation de l'appareil au moyen de l'interface {{DOMxRef("Gyroscope")}}. +- {{httpheader('Feature-Policy/layout-animations','layout-animations')}} + - : Contrôle si le document courant est autorisé à afficher des animations de mise en page. + +<!----> + +- {{httpheader('Feature-Policy/legacy-image-formats','legacy-image-formats')}} + - : Contrôle si le document courant est autorisé à afficher des images dans des formats du passé. + +<!----> + +- {{httpheader('Feature-Policy/magnetometer','magnetometer')}} + - : Contrôle si le document courant est autorisé à recueillir des informations à propos de l'orientation au moyen de l'interface {{DOMxRef("Magnetometer")}}. +- {{httpheader('Feature-Policy/microphone','microphone')}} + - : Contrôle si le document courant est autorisé à utiliser le microphone de l'appareil. Quand cette fonctionnalité est désactivée, la promesse retournée par {{domxref("MediaDevices.getUserMedia()")}} sera rejetée avec une exception {{Exception("NotAllowedError")}}. +- {{httpheader('Feature-Policy/midi', 'midi')}} + - : Contrôle si le document courant est autorisé à utiliser l'[API Web MIDI](/en-US/docs/Web/API/Web_MIDI_API). Quand cette fonctionnalité est désactivée, la promesse retournée par {{domxref("Navigator.requestMIDIAccess()")}} sera rejetée avec une exception {{domxref("DOMException")}}. +- {{httpheader('Feature-Policy/navigation-override','navigation-override')}} + - : Contrôle la disponibilité des mécanismes qui permettent à l'auteur de la page de prendre le contrôle sur le comportment de la [navigation spatiale](https://www.w3.org/TR/css-nav/), ou de l'annuler complètement. +- {{httpheader('Feature-Policy/oversized-images','oversized-images')}} + - : Contrôle si le document courant est autorisé à télécharger et afficher des images lourdes. +- {{httpheader('Feature-Policy/payment', 'payment')}} + - : Contrôle si le document courant est autorisé à utiliser l'[API Payment Request](/en-US/docs/Web/API/Payment_Request_API). Quand cette directive est désactivée, le constructeur {{domxref("PaymentRequest","PaymentRequest()")}} lèvera une {{domxref("DOMException")}} {{Exception("SecurityError")}}. +- {{httpheader('Feature-Policy/picture-in-picture', 'picture-in-picture')}} + - : Controls whether the current document is allowed to play a video in a Picture-in-Picture mode via the corresponding API. +- {{httpheader("Feature-Policy/publickey-credentials-get", "publickey-credentials-get")}} + - : Contrôle si le document courant est autorisé à use the [Web Authentication API](/en-US/docs/Web/API/Web_Authentication_API) to retreive already stored public-key credentials, i.e. via {{domxref("CredentialsContainer.get","navigator.credentials.get({publicKey: ..., ...})")}}. +- {{httpheader('Feature-Policy/sync-xhr', 'sync-xhr')}} + - : Contrôle si le document courant est autorisé à make synchronous {{DOMxRef("XMLHttpRequest")}} requests. +- {{httpheader('Feature-Policy/usb', 'usb')}} + - : Contrôle si le document courant est autorisé à use the [WebUSB API](https://wicg.github.io/webusb/). +- {{httpheader('Feature-Policy/vr', 'vr')}} {{deprecated_inline}} + - : Contrôle si le document courant est autorisé à use the [WebVR API](/en-US/docs/Web/API/WebVR_API). Quand cette directive est désactivée, la promesse retournée par {{domxref("Navigator.getVRDisplays","Navigator.getVRDisplays()")}} sera rejetée avec une {{domxref("DOMException")}}. Gardez en tête que la norme WebVR est en cours de remplacement au profit de [WebXR](/en-US/docs/Web/API/WebXR_Device_API). +- {{httpheader('Feature-Policy/wake-lock', 'wake-lock')}} + - : Contrôle si le document courant est autorisé à utiliser l'[API Wake Lock](https://www.w3.org/TR/wake-lock/) pour indiquer que l'appareil ne devrait se mettre en veille. +- {{httpheader('Feature-Policy/screen-wake-lock', 'screen-wake-lock')}} + - : Contrôle si le document courant est autorisé à utiliser l'[API Screen Wake Lock](/en-US/docs/Web/API/Screen_Wake_Lock_API) pour indiquer que l'appareil ne devrait pas assombrir ou éteindre l'écran. +- {{httpheader("Feature-Policy/web-share", "web-share")}} + - : Contrôle si le document courant est autorisé à utiliser la méthode {{domxref("Navigator.share","Navigator.share()")}} de l'API Web Share pour partager du texte, des liens, des images et d'autres contenus à des destinations arbitraires sur le choix de l'utilisateur, par exemple à des applications mobiles. +- {{httpheader("Feature-Policy/xr-spatial-tracking", "xr-spatial-tracking")}} + - : Contrôle si le document courant est autorisé à utiliser l'[API WebXR Device](/en-US/docs/Web/API/WebXR_Device_API) pour interagir avec une WebXR. + +## Exemple + +SecureCorp Inc. souhaite désactiver les API du microphone et de géolocalisation dans son application. Elle peut le faire en délivrant l'en-tête de réponse HTTP suivant pour définir une réglementation des fonctionnalités : + + Feature-Policy: microphone 'none'; geolocation 'none' + +En spécifiant la valeur `'none'` pour liste des origines, les fonctionnalités auquel la valeur est appliquée seront désactivées pour tous les contextes de navigation (incluant tout les cadres `<iframe>`), quelle que soit leur origine. + +## Spécifications + +| Spécification | +| -------------------------------------------------------------------------------------------------------------- | +| [Permissions Policy](https://w3c.github.io/webappsec-permissions-policy/#permissions-policy-http-header-field) | + +## Compatibilité des navigateurs + +{{Compat("http.headers.Feature-Policy")}} + +## Voir aussi + +- [Feature Policy](/en-US/docs/Web/HTTP/Feature_Policy) +- [Utiliser Feature Policy](/en-US/docs/Web/HTTP/Feature_Policy/Using_Feature_Policy) +- {{DOMxRef("Document.featurePolicy")}} and {{DOMxRef("FeaturePolicy")}} +- [Feature-Policy Tester (Chrome Developer Tools extension)](https://chrome.google.com/webstore/detail/feature-policy-tester-dev/pchamnkhkeokbpahnocjaeednpbpacop) +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTTPHeader("Referrer-Policy")}} diff --git a/files/fr/web/http/headers/host/index.md b/files/fr/web/http/headers/host/index.md index 60f8030ed8..8c2e6044f5 100644 --- a/files/fr/web/http/headers/host/index.md +++ b/files/fr/web/http/headers/host/index.md @@ -7,67 +7,57 @@ tags: - en-tête translation_of: Web/HTTP/Headers/Host --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête de requête <code><strong>Host</strong></code> spécifie le nom de domaine du serveur (pour de l'hébergement virtuel), et (optionnellement) le numéro du port TCP sur lequel le serveur écoute.</p> +L'en-tête de requête **`Host`** spécifie le nom de domaine du serveur (pour de l'hébergement virtuel), et (optionnellement) le numéro du port TCP sur lequel le serveur écoute. -<p>Si aucun port n'est donné, le port par défaut du service demandé sera utilisé (par exemple, "80" pour une URL HTTP).</p> +Si aucun port n'est donné, le port par défaut du service demandé sera utilisé (par exemple, "80" pour une URL HTTP). -<p>Un champ d'en-tête <code>Host</code> doit être envoyé dans tous les messages de requête HTTP/1.1. Un code HTTP {{HTTPStatus("400")}} (Bad Request) sera envoyé à tout message de requette HTTP/1.1 ne contenant pas un champ d'en-tête <code>Host</code> ou qui en contient plus d'un.</p> +Un champ d'en-tête `Host` doit être envoyé dans tous les messages de requête HTTP/1.1. Un code HTTP {{HTTPStatus("400")}} (Bad Request) sera envoyé à tout message de requette HTTP/1.1 ne contenant pas un champ d'en-tête `Host` ou qui en contient plus d'un. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("Request header","En-tête de requête")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name"," Nom d'en-tête interdit ")}}</th> - <td>Oui</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td> + {{Glossary("Request header","En-tête de requête")}} + </td> + </tr> + <tr> + <th scope="row"> + {{Glossary("Forbidden header name"," Nom d'en-tête interdit ")}} + </th> + <td>Oui</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Host: <host>:<port> -</pre> + Host: <host>:<port> -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><host></dt> - <dd>le nom de domaine du serveur (pour de l'hébergement virtuel).</dd> - <dt><port> {{optional_inline}}</dt> - <dd>numéro de port TCP sur lequel le serveur écoute.</dd> -</dl> +- \<host> + - : le nom de domaine du serveur (pour de l'hébergement virtuel). +- \<port> {{optional_inline}} + - : numéro de port TCP sur lequel le serveur écoute. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Host: developer.mozilla.org</pre> + Host: developer.mozilla.org -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7230", "Host", "5.4")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing</td> - </tr> - </tbody> -</table> +| Spécification | Titre | +| ---------------------------------------- | ------------------------------------------------------------------ | +| {{RFC("7230", "Host", "5.4")}} | Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Host")}}</p> +{{Compat("http.headers.Host")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPStatus("400")}}</li> - <li>{{HTMLElement("base")}}</li> -</ul> +- {{HTTPStatus("400")}} +- {{HTMLElement("base")}} diff --git a/files/fr/web/http/headers/if-modified-since/index.md b/files/fr/web/http/headers/if-modified-since/index.md index 36597ba724..63b3b69dfd 100644 --- a/files/fr/web/http/headers/if-modified-since/index.md +++ b/files/fr/web/http/headers/if-modified-since/index.md @@ -6,85 +6,68 @@ tags: - Reference translation_of: Web/HTTP/Headers/If-Modified-Since --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'entête de requête HTTP <strong><code>If-Modified-Since</code></strong> rend la requête conditionnelle : le serveur renverra la ressource demandée, avec un status {{HTTPStatus("200")}}, seulement si elle a été modifiée pour la dernière fois après la date donnée. Si la ressource n'a pas été modifiée depuis, la réponse sera un {{HTTPStatus("304")}} sans aucun contenu; le header {{HTTPHeader("Last-Modified")}} contiendra la date de la dernière modification. À l'inverse de {{HTTPHeader("If-Unmodified-Since")}}, <code>If-Modified-Since</code> ne peut être utilisé qu'avec un {{HTTPMethod("GET")}} ou un {{HTTPMethod("HEAD")}}.</p> +L'entête de requête HTTP **`If-Modified-Since`** rend la requête conditionnelle : le serveur renverra la ressource demandée, avec un status {{HTTPStatus("200")}}, seulement si elle a été modifiée pour la dernière fois après la date donnée. Si la ressource n'a pas été modifiée depuis, la réponse sera un {{HTTPStatus("304")}} sans aucun contenu; le header {{HTTPHeader("Last-Modified")}} contiendra la date de la dernière modification. À l'inverse de {{HTTPHeader("If-Unmodified-Since")}}, `If-Modified-Since` ne peut être utilisé qu'avec un {{HTTPMethod("GET")}} ou un {{HTTPMethod("HEAD")}}. -<p>Lorsqu'il est combiné avec {{HTTPHeader("If-None-Match")}}, il est ignoré, à moins que le serveur ne supporte pas <code>If-None-Match</code>.</p> +Lorsqu'il est combiné avec {{HTTPHeader("If-None-Match")}}, il est ignoré, à moins que le serveur ne supporte pas `If-None-Match`. -<p>Le cas d'usage le plus courant est la mise-à-jour d'une entité cachée qui n'a pas de {{HTTPHeader("ETag")}} associé.</p> +Le cas d'usage le plus courant est la mise-à-jour d'une entité cachée qui n'a pas de {{HTTPHeader("ETag")}} associé. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'entête</th> - <td>{{Glossary("Request header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'entête</th> + <td>{{Glossary("Request header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> - -<pre class="syntaxbox">If-Modified-Since: <label-jour>, <jour> <mois> <année> <heure>:<minute>:<seconde> GMT -</pre> - -<h2 id="Directives">Directives</h2> - -<dl> - <dt><label-jour></dt> - <dd>Parmis : "Mon", "Tue", "Wed", "Thu", "Fri", "Sat", ou "Sun" (sensible à la casse).</dd> - <dt><jour></dt> - <dd>2 chiffres du numéro du jour, par ex. "04" or "23".</dd> - <dt><mois></dt> - <dd>Parmis : "Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" (sensible à la casse).</dd> - <dt><année></dt> - <dd>4 chiffres de l'année, par ex. "1990" ou "2016".</dd> - <dt><heure></dt> - <dd>2 chiffres du numéro de l'heure, par ex. "09" ou "23".</dd> - <dt><minute></dt> - <dd>2 chiffres des minutes, par ex. "04" or "59".</dd> - <dt><seconde></dt> - <dd>2 chiffres des secondes, par ex. "04" or "59".</dd> - <dt><code>GMT</code></dt> - <dd> - <p><em>Greenwich Mean Time</em>. Les dates HTTP sont toujours exprimées en GMT, jamais en temps localisé.</p> - </dd> -</dl> - -<h2 id="Exemples">Exemples</h2> - -<pre>If-Modified-Since: Wed, 21 Oct 2015 07:28:00 GMT -</pre> - -<h2 id="Specifications">Specifications</h2> - -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Specification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7232", "If-Modified-Since", "3.3")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests</td> - </tr> - </tbody> -</table> +## Syntaxe + + If-Modified-Since: <label-jour>, <jour> <mois> <année> <heure>:<minute>:<seconde> GMT + +## Directives + +- \<label-jour> + - : Parmis : "Mon", "Tue", "Wed", "Thu", "Fri", "Sat", ou "Sun" (sensible à la casse). +- \<jour> + - : 2 chiffres du numéro du jour, par ex. "04" or "23". +- \<mois> + - : Parmis : "Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" (sensible à la casse). +- \<année> + - : 4 chiffres de l'année, par ex. "1990" ou "2016". +- \<heure> + - : 2 chiffres du numéro de l'heure, par ex. "09" ou "23". +- \<minute> + - : 2 chiffres des minutes, par ex. "04" or "59". +- \<seconde> + - : 2 chiffres des secondes, par ex. "04" or "59". +- `GMT` + - : _Greenwich Mean Time_. Les dates HTTP sont toujours exprimées en GMT, jamais en temps localisé. + +## Exemples + + If-Modified-Since: Wed, 21 Oct 2015 07:28:00 GMT + +## Specifications + +| Specification | Titre | +| -------------------------------------------------------- | ------------------------------------------------------------ | +| {{RFC("7232", "If-Modified-Since", "3.3")}} | Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests | -<h2 id="Compatibility_avec_les_navigateurs">Compatibility avec les navigateurs</h2> +## Compatibility avec les navigateurs -<p>{{Compat("http.headers.If-Modified-Since")}}</p> +{{Compat("http.headers.If-Modified-Since")}} -<h2 id="À_voir_aussi">À voir aussi</h2> +## À voir aussi -<ul> - <li>{{HTTPHeader("ETag")}}</li> - <li>{{HTTPHeader("If-Unmodified-since")}}</li> - <li>{{HTTPHeader("If-Match")}}</li> - <li>{{HTTPHeader("If-None-Match")}}</li> - <li>{{HTTPStatus("304")}}<code> Not Modified</code></li> -</ul> +- {{HTTPHeader("ETag")}} +- {{HTTPHeader("If-Unmodified-since")}} +- {{HTTPHeader("If-Match")}} +- {{HTTPHeader("If-None-Match")}} +- {{HTTPStatus("304")}}` Not Modified` diff --git a/files/fr/web/http/headers/if-none-match/index.md b/files/fr/web/http/headers/if-none-match/index.md index 1a1a0c505c..2e92cf3427 100644 --- a/files/fr/web/http/headers/if-none-match/index.md +++ b/files/fr/web/http/headers/if-none-match/index.md @@ -9,86 +9,68 @@ tags: - Requêtes Conditionnelles translation_of: Web/HTTP/Headers/If-None-Match --- -<div> </div> +L'en-tête de requête HTTP **`If-None-Match`** permet de conditionner la requête. Pour les méthodes {{HTTPMethod("GET")}} et {{HTTPMethod("HEAD")}}, le serveur renvoie la ressource demandée, avec un statut {{HTTPStatus("200")}}, seulement si elle n'a pas un {{HTTPHeader("ETag")}} correspondant à ceux fournis. Pour les autres méthodes, la requête ne sera traitée que si l'{{HTTPHeader("ETag")}} de l'éventuelle ressource existante ne correspond à aucune des valeurs listées. -<p>L'en-tête de requête HTTP <strong><code>If-None-Match</code></strong> permet de conditionner la requête. Pour les méthodes {{HTTPMethod("GET")}} et {{HTTPMethod("HEAD")}}, le serveur renvoie la ressource demandée, avec un statut {{HTTPStatus("200")}}, seulement si elle n'a pas un {{HTTPHeader("ETag")}} correspondant à ceux fournis. Pour les autres méthodes, la requête ne sera traitée que si l'{{HTTPHeader("ETag")}} de l'éventuelle ressource existante ne correspond à aucune des valeurs listées.</p> +Quand la condition échoue pour les méthodes {{HTTPMethod("GET")}} et {{HTTPMethod("HEAD")}}, le serveur doit retourner un code statut HTTP 304 (Not Modified). Pour les méthodes appliquant des changements côté serveur, le code statut 412 (Precondition Failed) est utilisé. Notez que le serveur générant une réponse 304 DOIT générer toutes les en-têtes qui auraient été envoyées avec une réponse 200 (OK) à la même requête : Cache-Control, Content-Location, Date, ETag, Expires, and Vary. -<p>Quand la condition échoue pour les méthodes {{HTTPMethod("GET")}} et {{HTTPMethod("HEAD")}}, le serveur doit retourner un code statut HTTP 304 (Not Modified). Pour les méthodes appliquant des changements côté serveur, le code statut 412 (Precondition Failed) est utilisé. Notez que le serveur générant une réponse 304 DOIT générer toutes les en-têtes qui auraient été envoyées avec une réponse 200 (OK) à la même requête : Cache-Control, Content-Location, Date, ETag, Expires, and Vary.</p> +La comparaison avec l'{{HTTPHeader("ETag")}} stocké utilise l'_algorithme de comparaison faible_, c'est-à-dire que 2 fichiers sont considérés identiques pas seulement s'ils sont identiques octet à octet mais si leurs contenus sont équivalents. Par exemple, 2 pages dont seule la date de génération dans le pied de page diffère seraient considérées identiques. -<p>La comparaison avec l'{{HTTPHeader("ETag")}} stocké utilise l'<em>algorithme de comparaison faible</em>, c'est-à-dire que 2 fichiers sont considérés identiques pas seulement s'ils sont identiques octet à octet mais si leurs contenus sont équivalents. Par exemple, 2 pages dont seule la date de génération dans le pied de page diffère seraient considérées identiques.</p> +Quand utilisé avec {{HTTPHeader("If-Modified-Since")}}, il a la priorité (si le serveur le supporte). -<p>Quand utilisé avec {{HTTPHeader("If-Modified-Since")}}, il a la priorité (si le serveur le supporte).</p> +Il y a 2 cas d'utilisation communs: -<p>Il y a 2 cas d'utilisation communs:</p> - -<ul> - <li>Pour les méthodes {{HTTPMethod("GET")}} and {{HTTPMethod("HEAD")}}, pour mettre à jour une entité en cache qui a un {{HTTPHeader("ETag")}} associé.</li> - <li>Pour les autres méthodes, et en particulier pour {{HTTPMethod("PUT")}}, <code>If-None-Match</code> avec pour valeur <code>*</code> peut être utilisé pour sauver un fichier dont on ne sait pas s'il existe, garantissant qu'un autre téléversement n'a pas été fait avant, perdant les données du précédent chargement ; ce problème est une variation du <a href="https://www.w3.org/1999/04/Editing/#3.1">problème de la mise à jour perdue</a>.</li> -</ul> +- Pour les méthodes {{HTTPMethod("GET")}} and {{HTTPMethod("HEAD")}}, pour mettre à jour une entité en cache qui a un {{HTTPHeader("ETag")}} associé. +- Pour les autres méthodes, et en particulier pour {{HTTPMethod("PUT")}}, `If-None-Match` avec pour valeur `*` peut être utilisé pour sauver un fichier dont on ne sait pas s'il existe, garantissant qu'un autre téléversement n'a pas été fait avant, perdant les données du précédent chargement ; ce problème est une variation du [problème de la mise à jour perdue](https://www.w3.org/1999/04/Editing/#3.1). <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("En-tête de requête")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Nom d'en-tête interdit")}}</th> - <td>non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("En-tête de requête")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Nom d'en-tête interdit")}}</th> + <td>non</td> + </tr> + </tbody> </table> -<h2 id="Syntax">Syntax</h2> +## Syntax -<pre class="syntaxbox">If-None-Match: "<valeur_etag>" -If-None-Match: "<valeur_etag>", "<valeur_etag>", … -If-None-Match: *</pre> + If-None-Match: "<valeur_etag>" + If-None-Match: "<valeur_etag>", "<valeur_etag>", … + If-None-Match: * -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><etag_value></dt> - <dd>Des tags d'entité représentant de façon unique les ressources demandées. Ce sont des chaînes de caractères ASCII entre guillemets doubles (comme <code>"675af34563dc-tr34"</code>) et peuvent être préfixés par <code>W/</code> pour indiquer que l'algorithme de comparaison faible doit être utilisé (inutile avec <code>If-None-Match</code> car il n'utilise que cet algorithme).</dd> - <dt><code>*</code></dt> - <dd>L'astérisque est une valeur spéciale représentant toute ressource. Ils ne sont utilies que quand on téléverse une ressource, habituellement avec {{HTTPMethod("PUT")}}, pour vérifier si une autre ressource avec cette identité a déjà été téléversée avant.</dd> -</dl> +- \<etag_value> + - : Des tags d'entité représentant de façon unique les ressources demandées. Ce sont des chaînes de caractères ASCII entre guillemets doubles (comme `"675af34563dc-tr34"`) et peuvent être préfixés par `W/` pour indiquer que l'algorithme de comparaison faible doit être utilisé (inutile avec `If-None-Match` car il n'utilise que cet algorithme). +- `*` + - : L'astérisque est une valeur spéciale représentant toute ressource. Ils ne sont utilies que quand on téléverse une ressource, habituellement avec {{HTTPMethod("PUT")}}, pour vérifier si une autre ressource avec cette identité a déjà été téléversée avant. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>If-None-Match: "bfc13a64729c4290ef5b2c2730249c88ca92d82d" + If-None-Match: "bfc13a64729c4290ef5b2c2730249c88ca92d82d" -If-None-Match: W/"67ab43", "54ed21", "7892dd" + If-None-Match: W/"67ab43", "54ed21", "7892dd" -If-None-Match: * -</pre> + If-None-Match: * -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Title</th> - </tr> - <tr> - <td>{{RFC("7232", "If-None-Match", "3.2")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests</td> - </tr> - </tbody> -</table> +| Spécification | Title | +| ---------------------------------------------------- | ------------------------------------------------------------ | +| {{RFC("7232", "If-None-Match", "3.2")}} | Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests | -<h2 id="Compatibilité_navigateur">Compatibilité navigateur</h2> +## Compatibilité navigateur -<p>{{Compat("http.headers.If-None-Match")}}</p> +{{Compat("http.headers.If-None-Match")}} -<h2 id="Voir_également">Voir également</h2> +## Voir également -<ul> - <li>{{HTTPHeader("ETag")}}</li> - <li>{{HTTPHeader("If-Unmodified-Since")}}</li> - <li>{{HTTPHeader("If-Modified-Since")}}</li> - <li>{{HTTPHeader("If-Match")}}</li> - <li>{{HTTPStatus("304")}}<code> Not Modified</code></li> - <li>{{HTTPStatus("412")}}<code> Precondition Failed</code></li> -</ul> +- {{HTTPHeader("ETag")}} +- {{HTTPHeader("If-Unmodified-Since")}} +- {{HTTPHeader("If-Modified-Since")}} +- {{HTTPHeader("If-Match")}} +- {{HTTPStatus("304")}}` Not Modified` +- {{HTTPStatus("412")}}` Precondition Failed` diff --git a/files/fr/web/http/headers/index.md b/files/fr/web/http/headers/index.md index 3233fecdb2..6fd48ff501 100644 --- a/files/fr/web/http/headers/index.md +++ b/files/fr/web/http/headers/index.md @@ -10,440 +10,386 @@ tags: - Reference translation_of: Web/HTTP/Headers --- -<div>{{HTTPSidebar}}</div> - -<p>Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec la requête ou la réponse. Un en-tête de requête est constitué de son nom (insensible à la casse) suivi d'un deux-points <code>:</code>, puis de sa valeur (sans saut de ligne). L'espace blanc avant la valeur est ignoré.</p> - -<p>Des en-têtes propriétaires personnalisés peuvent être ajoutés en utilisant le préfixe <code>X-</code>, mais cette convention a été abandonnée en juin 2012, en raison des inconvénients qu'elle a présenté lorsque des champs non standard sont devenus standard dans <a class="external" href="https://tools.ietf.org/html/rfc6648">RFC 6648</a>; les autres en-têtes possibles sont listés dans une <a class="external" href="https://www.iana.org/assignments/message-headers/message-headers.xhtml">liste IANA</a> et ont été définis dans la <a class="external" href="https://tools.ietf.org/html/rfc4229">RFC 4229</a>. IANA maintient également une <a class="external" href="https://www.iana.org/assignments/message-headers/message-headers.xhtml">liste des propositions de nouveaux entêtes HTTP</a>.</p> - -<p>Les en-têtes peuvent être groupés selon leur contexte :</p> - -<ul> - <li>{{Glossary("General header","En-tête général")}} : en-têtes s'appliquant à la fois aux requêtes et aux réponses mais sans rapport avec les données éventuellement transmises dans le corps de la requête ou de la réponse.</li> - <li>{{Glossary("Request header","En-tête de requête")}} : en-têtes contenant plus d'informations au sujet de la ressource à aller chercher ou à propos du client lui-même.</li> - <li>{{Glossary("Response header","En-tête de réponse")}} : en-têtes contenant des informations additionnelles au sujet de la réponse comme son emplacement, ou au sujet du serveur lui-même (nom et version, etc.)</li> - <li>{{Glossary("Entity header","En-tête d'entité")}} : en-têtes contenant plus d'informations au sujet du corps de l'entité comme la longueur de son contenu ou son <a href="/fr/docs/Glossaire/Type_MIME">type MIME</a>.</li> -</ul> - -<p>Les en-têtes peuvent aussi être groupés par la manière dont les {{Glossary("Proxy_server", "serveurs mandataires (proxies)")}} les traitent :</p> - -<ul> - <li>{{httpheader("Connection")}}</li> - <li>{{httpheader("Keep-Alive")}}</li> - <li>{{httpheader("Proxy-Authenticate")}}</li> - <li>{{httpheader("Proxy-Authorization")}}</li> - <li>{{httpheader("TE")}}</li> - <li>{{httpheader("Trailer")}}</li> - <li>{{httpheader("Transfer-Encoding")}}</li> - <li>{{httpheader("Upgrade")}} (voir aussi <a href="/fr/docs/Web/HTTP/Protocol_upgrade_mechanism">mécanisme de mise à jour de protocole</a>)</li> -</ul> - -<dl> - <dt>En-têtes de bout en bout ('End-to-end headers') :</dt> - <dd>Ces entêtes doivent être transmis au destinataire final du message ; c'est-à-dire le serveur dans le cas d'une requête ou le client dans le cas d'une réponse. Les serveurs mandataires intermédiaires doivent retransmettre les en-têtes de bout en bout sans modification et doivent les mettre en cache.</dd> - <dt>En-têtes de point à point ('Hop-by-hop headers') :</dt> - <dd>Ces en-têtes n'ont de sens que pour une unique connexion de la <a class="external" href="https://fr.wikipedia.org/wiki/Couche_transport">couche transport</a> et ne doivent pas être retransmis par des serveurs mandataires ou mis en cache. Il s'agit d'en-têtes tels que: {{httpheader("Connection")}}, {{httpheader("Keep-Alive")}}, {{httpheader("Proxy-Authenticate")}}, {{httpheader("Proxy-Authorization")}}, {{httpheader("TE")}}, {{httpheader("Trailer")}}, {{ httpheader("Transfer-Encoding")}} et {{httpheader("Upgrade")}}. A noter que seuls les en-têtes de point à point peuvent être utilisés avec l'en-tête général {{httpheader("Connection")}}.</dd> -</dl> - -<p>La liste suivante résume les en-têtes HTTP en fonction de leur utilisation. Une liste triée par ordre alphabétique est disponible dans le panneau de navigation à gauche.</p> - -<h2 id="Authentification">Authentification</h2> - -<dl> - <dt>{{HTTPHeader("WWW-Authenticate")}}</dt> - <dd>définit la méthode d'authentification qui doit être utilisée pour obtenir l'accès à la ressource.</dd> - <dt>{{HTTPHeader("Authorization")}}</dt> - <dd>contient les informations d'identification pour authentifier un agent utilisateur avec un serveur.</dd> - <dt>{{HTTPHeader("Proxy-Authenticate")}}</dt> - <dd>définit la méthode d'authentification qui doit être utilisée pour obtenir la ressource derrière un serveur mandataire.</dd> - <dt>{{HTTPHeader("Proxy-Authorization")}}</dt> - <dd>contient les informations d'identification nécessaires pour authentifier un agent utilisateur avec un serveur mandataire.</dd> -</dl> - -<h2 id="Mise_en_cache">Mise en cache</h2> - -<dl> - <dt>{{HTTPHeader("Age")}}</dt> - <dd>la durée en secondes passée par l'objet dans un cache proxy.</dd> - <dt>{{HTTPHeader("Cache-Control")}}</dt> - <dd>spécifie des directives pour les mécanismes de mise en cache dans les requêtes et les réponses.</dd> - <dt>{{HTTPHeader("Clear-Site-Data")}}</dt> - <dd>nettoie les données de navigation (mouchards (<em>cookies</em>), stockage et cache) associé au site demandé.</dd> - <dt>{{HTTPHeader("Expires")}}</dt> - <dd>la date et l'heure après lesquelles la réponse est considérée comme périmée.</dd> - <dt>{{HTTPHeader("Pragma")}}</dt> - <dd>en-tête spécifique à la mise en œuvre pouvant avoir divers effets le long de la chaîne de requête-réponse. Utilisé pour la rétrocompatibilité avec les caches HTTP / 1.0 où l'en-tête <code>Cache-Control</code> n'est pas encore présent.</dd> - <dt>{{HTTPHeader("Warning")}}</dt> - <dd>un champ d'avertissement général contenant des informations sur les problèmes possibles.</dd> -</dl> - -<h2 id="Astuces_client">Astuces client</h2> - -<p>Les {{Glossary("Client_hints", "astuces clients")}} HTTP sont enc cours de création. La documentation actuelle est disponible sur le <a href="https://httpwg.org/http-extensions/client-hints.html">site du groupe de travail sur HTTP</a>.</p> - -<dl> - <dt>{{HTTPHeader("Accept-CH")}} {{experimental_inline}}</dt> - <dd>les serveurs peuvent informer de leur niveau de support pour les Client Hints en utilisant l'en-tête <code>Accept-CH</code> ou en HTML avec l'élément <code><meta></code> ayant l'attribut <code>http-equiv</code> (<a href="https://httpwg.org/http-extensions/client-hints.html#HTML5">[HTML5]</a>).</dd> - <dt>{{HTTPHeader("Accept-CH-Lifetime")}} {{experimental_inline}}</dt> - <dd>les serveurs peuvent demander au client de mémoriser l'ensemble des Client Hints que le serveur supporte pour une période de temps donnée, afin de permettre la livraison de Client Hints sur les requêtes suivantes vers l'origine du serveur (<a href="https://httpwg.org/http-extensions/client-hints.html#RFC6454">[RFC6454]</a>).</dd> - <dt>{{HTTPHeader("Content-DPR")}} {{experimental_inline}}</dt> - <dd>un nombre indiquant le rapport entre le nombre de pixels physiques et le nombre de pixels CSS de l'image réponse sélectionnée.</dd> - <dt>{{HTTPHeader("DPR")}} {{experimental_inline}}</dt> - <dd>un nombre indiquant le Device Pixel Ratio (DPR) actuel du client, qui est le rapport du nombre de pixels physiques sur le nombre de pixels CSS (Section 5.2 of <a href="https://httpwg.org/http-extensions/client-hints.html#CSSVAL">[CSSVAL]</a>) de la zone d'affichage (Section 9.1.1 of <a href="https://httpwg.org/http-extensions/client-hints.html#CSS2">[CSS2]</a>) sur l'appareil.</dd> - <dt>{{HTTPHeader("Device-Memory")}} {{experimental_inline}}</dt> - <dd>faisant techniquement partie de l'API Device Memory, cet en-tête représente la quantité approximative de mémoire vive dont le client dispose.</dd> - <dt>{{HTTPHeader("Early-Data")}} {{experimental_inline}}</dt> - <dd>indique que les requêtes doivent être communiquées en TLS early data.</dd> - <dt>{{HTTPHeader("Save-Data")}} {{experimental_inline}}</dt> - <dd>booléen indiquant les préférences de l'agent utilisateur pour réduire la quantité de données transmises.</dd> - <dt>{{HTTPHeader("Viewport-Width")}} {{experimental_inline}}</dt> - <dd>la largeur de la zone d'affichage, soit le nombre de pixels CSS. La valeur fournise est arrondie au plus grand proche supérieur. Si <code>Viewport-Width</code> apparait dans un message plus d'une fois, la dernière valeur écrase toutes les valeurs précédentes.</dd> - <dt>{{HTTPHeader("Width")}} {{experimental_inline}}</dt> - <dd>l'en-tête de requête <code>Width</code> représente la largeur de la ressource voulue en nombre de pixels physiques. La valeur fournise est arrondie au plus proche entier supérieur. Si la largeur de la ressource voulue est inconnue quand la requête ou la ressource n'a pas de largeur d'affichage, l'en-tête <code>Width</code> peut être omise. Si <code>Width</code> apparait dans un message plus d'une fois, la dernière valeur écrase toutes les valeurs précédentes.</dd> -</dl> - -<h2 id="Conditionnels">Conditionnels</h2> - -<dl> - <dt>{{HTTPHeader("Last-Modified")}}</dt> - <dd>c'est un validateur, la dernière date de modification de la ressource, utilisée pour comparer plusieurs versions de la même ressource. Il est moins précis que {{HTTPHeader("ETag")}}, mais plus facile à calculer dans certains environnements. Les requêtes conditionnelles utilisant {{HTTPHeader("If-Modified-Since")}} et {{HTTPHeader("If-Unmodified-Since")}} utilisent cette valeur pour modifier le comportement de la requête.</dd> - <dt>{{HTTPHeader("ETag")}}</dt> - <dd>c'est un validateur, une chaîne unique identifiant la version de la ressource. Les requêtes conditionnelles utilisant {{HTTPHeader("If-Match")}} et {{HTTPHeader("If-None-Match")}} utilisent cette valeur pour changer le comportement de la requête.</dd> - <dt>{{HTTPHeader("If-Match")}}</dt> - <dd>rend la requête conditionnelle et n'applique la méthode que si la ressource stockée correspond à l'un des ETags donnés.</dd> - <dt>{{HTTPHeader("If-None-Match")}}</dt> - <dd>rend la requête conditionnelle et n'applique la méthode que si la ressource stockée ne correspond à aucun des ETags donnés. Ceci est utilisé pour mettre à jour les caches (pour les requêtes sécurisées), ou pour empêcher de télécharger une nouvelle ressource lorsqu'elle existe déjà.</dd> - <dt>{{HTTPHeader("If-Modified-Since")}}</dt> - <dd>rend la requête conditionnelle et attend que l'entité soit transmise seulement si elle a été modifiée après la date donnée. Ceci est utilisé pour transmettre des données uniquement lorsque le cache est obsolète.</dd> - <dt>{{HTTPHeader("If-Unmodified-Since")}}</dt> - <dd>rend la demande conditionnelle et attend que l'entité soit transmise seulement si elle n'a pas été modifiée après la date donnée. Ceci est utilisé pour assurer la cohérence d'un nouveau fragment d'une plage spécifique avec les précédentes, ou pour implémenter un système de contrôle de concurrence optimiste lors de la modification de documents existants.</dd> - <dt>{{HTTPHeader("Vary")}}</dt> - <dd>détermine comment faire correspondre les futurs en-têtes de demande pour décider si une réponse mise en cache peut être utilisée plutôt que d'en demander une nouvelle au serveur d'origine.</dd> -</dl> - -<h2 id="Gestion_de_connexion">Gestion de connexion</h2> - -<dl> - <dt>{{HTTPHeader("Connection")}}</dt> - <dd>contrôle si la connexion réseau reste ouverte après la fin de la transaction en cours.</dd> - <dt>{{HTTPHeader("Keep-Alive")}}</dt> - <dd>contrôle la durée pendant laquelle une connexion persistante doit rester ouverte.</dd> -</dl> - -<h2 id="Négociation_de_contenu">Négociation de contenu</h2> - -<dl> - <dt>{{HTTPHeader("Accept")}}</dt> - <dd>informe le serveur des types de données pouvant être renvoyés. C'est un type MIME.</dd> - <dt>{{HTTPHeader("Accept-Charset")}}</dt> - <dd>informe le serveur du jeu de caractères que le client peut comprendre.</dd> - <dt>{{HTTPHeader("Accept-Encoding")}}</dt> - <dd>informe le serveur sur l'algorithme de codage, généralement un algorithme de compression, qui peut être utilisé sur la ressource renvoyée.</dd> - <dt>{{HTTPHeader("Accept-Language")}}</dt> - <dd>informe le serveur de la langue que le serveur doit renvoyer. Ceci est un indice et n'est pas nécessairement sous le contrôle total de l'utilisateur : le serveur doit toujours faire attention à ne pas remplacer un choix explicite de l'utilisateur (telle la sélection d'une langue dans une liste déroulante).</dd> -</dl> - -<h2 id="Contrôles">Contrôles</h2> - -<dl> - <dt>{{HTTPHeader("Expect")}}</dt> - <dd>indique ce qui est attendu de la part du serveur afin de pouvoier gérer correctement la requête.</dd> - <dt>{{HTTPHeader("Max-Forwards")}}</dt> - <dd>...</dd> -</dl> - -<h2 id="Cookies">Cookies</h2> - -<dl> - <dt>{{HTTPHeader("Cookie")}}</dt> - <dd>contient les <a href="/fr/docs/HTTP/Cookies">cookies HTTP</a> stockés précédemment envoyés par le serveur à l'aide de l'en-tête {{HTTPHeader("Set-Cookie")}}.</dd> - <dt>{{HTTPHeader("Set-Cookie")}}</dt> - <dd>envoie des cookies du serveur à l'agent utilisateur.</dd> - <dt>{{HTTPHeader("Cookie2")}} {{obsolete_inline}}</dt> - <dd>utilisé pour contenir un cookie HTTP, précédemment envoyé par le serveur avec l'en-tête {{HTTPHeader("Set-Cookie2")}}, mais qui a été rendu obsolète par la spécification. Utilisez {{HTTPHeader("Cookie")}} à la place.</dd> - <dt>{{HTTPHeader("Set-Cookie2")}} {{obsolete_inline}}</dt> - <dd>utilisé pour envoyer des cookies du serveur à l'agent utilisateur, mais a été rendu obsolète par la spécification. Utilisez {{HTTPHeader("Set-Cookie")}} à la place.</dd> -</dl> - -<h2 id="Cross-Origin_Resource_Sharing_CORS"><a href="/fr/docs/Web/HTTP/CORS">Cross-Origin Resource Sharing (CORS)</a></h2> - -<dl> - <dt>{{HTTPHeader("Access-Control-Allow-Origin")}}</dt> - <dd>indique si la réponse peut être partagée.</dd> - <dt>{{HTTPHeader("Access-Control-Allow-Credentials")}}</dt> - <dd>indique si la réponse à la demande peut être exposée lorsque l'indicateur d'informations d'identification est vrai.</dd> - <dt>{{HTTPHeader("Access-Control-Allow-Headers")}}</dt> - <dd>utilisé en réponse à une demande de contrôle en amont pour indiquer quels en-têtes HTTP peuvent être utilisés lors de la requête effective.</dd> - <dt>{{HTTPHeader("Access-Control-Allow-Methods")}}</dt> - <dd>spécifie la ou les méthodes autorisées lors de l'accès à la ressource en réponse à une demande de contrôle en amont.</dd> - <dt>{{HTTPHeader("Access-Control-Expose-Headers")}}</dt> - <dd>indique en-têtes pouvant être exposés dans le cadre de la réponse en listant leurs noms.</dd> - <dt>{{HTTPHeader("Access-Control-Max-Age")}}</dt> - <dd>indique la durée pendant laquelle les résultats d'une demande de contrôle en amont peuvent être mis en cache.</dd> - <dt>{{HTTPHeader("Access-Control-Request-Headers")}}</dt> - <dd>utilisé lors de l'émission d'une demande de contrôle en amont pour indiquer au serveur les en-têtes HTTP qui seront utilisés lors de la requête effective.</dd> - <dt>{{HTTPHeader("Access-Control-Request-Method")}}</dt> - <dd>Utilisé lors de l'émission d'une demande de contrôle en amont pour indiquer au serveur la <a href="/fr/docs/Web/HTTP/Methods">méthode HTTP</a> à utiliser lors de la requête.</dd> - <dt>{{HTTPHeader("Origin")}}</dt> - <dd>indique l'origine d'une consultation.</dd> - <dt>{{HTTPHeader("Timing-Allow-Origin")}}</dt> - <dd>spécifie les origines autorisées à voir les valeurs des attributs récupérés via les fonctionnalités de l'<a href="/fr/docs/Web/API/Resource_Timing_API">API Resource Timing</a>, qui seraient autrement signalées comme étant zéro en raison des restrictions d'origines croisées.</dd> -</dl> - -<h2 id="Ne_pas_suivre">Ne pas suivre</h2> - -<dl> - <dt>{{HTTPHeader("DNT")}}</dt> - <dd>utilisé pour exprimer la préférence de suivi de l'utilisateur.</dd> - <dt>{{HTTPHeader("Tk")}}</dt> - <dd>indique l'état de suivi appliqué à la demande correspondante.</dd> -</dl> - -<h2 id="Téléchargements">Téléchargements</h2> - -<dl> - <dt>{{HTTPHeader("Content-Disposition")}}</dt> - <dd>est un en-tête de réponse si la ressource transmise doit être affichée en ligne (comportement par défaut lorsque l'en-tête n'est pas présent), ou doit être traitée comme un téléchargement et le navigateur doit présenter une fenêtre "Enregistrer sous".</dd> -</dl> - -<h2 id="Informations_sur_le_corps_du_message">Informations sur le corps du message</h2> - -<dl> - <dt>{{HTTPHeader("Content-Length")}}</dt> - <dd>indique la taille du corps d'entité, en nombre décimal d'octets, envoyée au destinataire.</dd> - <dt>{{HTTPHeader("Content-Type")}}</dt> - <dd>indique le type de média de la ressource.</dd> - <dt>{{HTTPHeader("Content-Encoding")}}</dt> - <dd>utilisé pour spécifier l'algorithme de compression.</dd> - <dt>{{HTTPHeader("Content-Language")}}</dt> - <dd>décrit la (les) langue(s) destinée(s) à l'audience, de sorte qu'elle permette à l'utilisateur de se différencier en fonction de la langue préférée de l'utilisateur.</dd> - <dt>{{HTTPHeader("Content-Location")}}</dt> - <dd>indique un emplacement pour les données renvoyées.</dd> -</dl> - -<h2 id="Proxies">Proxies</h2> - -<dl> - <dt>{{HTTPHeader("Forwarded")}}</dt> - <dd>contient des informations du côté client des serveurs proxy qui sont modifiées ou perdues lorsqu'un proxy est impliqué dans le chemin de la requête.</dd> - <dt>{{HTTPHeader("X-Forwarded-For")}} {{non-standard_inline}}</dt> - <dd>identifie les adresses IP d'origine d'un client se connectant à un serveur Web via un proxy HTTP ou un répartiteur de charge.</dd> - <dt>{{HTTPHeader("X-Forwarded-Host")}} {{non-standard_inline}}</dt> - <dd>identifie l'hôte d'origine demandé à un client pour se connecter à votre proxy ou à votre équilibreur de charge.</dd> - <dt>{{HTTPHeader("X-Forwarded-Proto")}} {{non-standard_inline}}</dt> - <dd>identifie le protocole (HTTP ou HTTPS) utilisé par un client pour se connecter à votre proxy ou votre équilibreur de charge.</dd> - <dt>{{HTTPHeader("Via")}}</dt> - <dd>ajoutés par des proxies, directs et inverses, et peuvent apparaître dans les en-têtes de requête et les en-têtes de réponse.</dd> -</dl> - -<h2 id="Redirection">Redirection</h2> - -<dl> - <dt>{{HTTPHeader("Location")}}</dt> - <dd>indique l'URL de la page de redirection.</dd> -</dl> - -<h2 id="Contexte_de_requête">Contexte de requête</h2> - -<dl> - <dt>{{HTTPHeader("From")}}</dt> - <dd>contient une adresse électronique Internet pour un utilisateur humain qui contrôle l'agent utilisateur demandeur.</dd> - <dt>{{HTTPHeader("Host")}}</dt> - <dd>indique le nom de domaine du serveur (pour l'hébergement virtuel) et (facultativement) le numéro de port TCP sur lequel le serveur écoute.</dd> - <dt>{{HTTPHeader("Referer")}}</dt> - <dd>L'adresse de la page Web précédente à partir de laquelle un lien vers la page actuellement demandée a été suivi.</dd> - <dt>{{HTTPHeader("Referrer-Policy")}}</dt> - <dd>indique quelles informations de provenance envoyées dans l'en-tête {{HTTPHeader("Referer")}} doivent être incluses dans les requêtes effectuées.</dd> - <dt>{{HTTPHeader("User-Agent")}}</dt> - <dd>contient une chaîne caractéristique qui permet aux homologues du protocole réseau d'identifier le type d'application, le système d'exploitation, le fournisseur du logiciel ou la version du logiciel de l'agent utilisateur du logiciel demandeur. Voir aussi <a href="/fr/docs/HTTP/Gecko_user_agent_string_reference">la référence de chaîne de l'agent utilisateur Firefox</a>.</dd> -</dl> - -<h2 id="Contexte_de_réponse">Contexte de réponse</h2> - -<dl> - <dt>{{HTTPHeader("Allow")}}</dt> - <dd>répertorie l'ensemble des méthodes de requête HTTP prises en charge par une ressource.</dd> - <dt>{{HTTPHeader("Server")}}</dt> - <dd>contient des informations sur le logiciel utilisé par le serveur d'origine pour gérer la demande.</dd> -</dl> - -<h2 id="Demandes_de_plage">Demandes de plage</h2> - -<dl> - <dt>{{HTTPHeader("Accept-Ranges")}}</dt> - <dd>indique si le serveur prend en charge les demandes de plage et, le cas échéant, dans quelle unité la plage peut être exprimée.</dd> - <dt>{{HTTPHeader("Range")}}</dt> - <dd>indique la partie d'un document que le serveur doit renvoyer.</dd> - <dt>{{HTTPHeader("If-Range")}}</dt> - <dd>crée une requête de plage conditionnelle qui n'est remplie que si l'étiquette et la date correspondent à la ressource distante. Utilisé pour empêcher le téléchargement de deux plages à partir d'une version incompatible de la ressource.</dd> - <dt>{{HTTPHeader("Content-Range")}}</dt> - <dd>situe une partie de message à l'intérieur du corps d'un message entier.</dd> -</dl> - -<h2 id="Sécurité">Sécurité</h2> - -<dl> - <dt>{{HTTPHeader("Cross-Origin-Embedder-Policy")}} ({{Glossary("COEP")}})</dt> - <dd>autorise un serveur à déclarer une règlementation sur les contenus embarqués pour un document donné.</dd> -</dl> - -<dl> - <dt>{{HTTPHeader("Cross-Origin-Opener-Policy")}} ({{Glossary("COOP")}})</dt> - <dd>interdit les autres domaines d'ouvrir ou de contrôler une fenêtre.</dd> -</dl> - -<dl> - <dt>{{HTTPHeader("Cross-Origin-Resource-Policy")}} ({{Glossary("CORP")}})</dt> - <dd>interdit les autre domaines de lire la réponse des ressources si cet en-tête leur est appliqué.</dd> -</dl> - -<dl> - <dt>{{HTTPHeader("Content-Security-Policy")}} ({{Glossary("CSP")}})</dt> - <dd>contrôle les ressources que l'agent utilisateur est autorisé à charger pour une page donnée.</dd> - <dt>{{HTTPHeader("Content-Security-Policy-Report-Only")}}</dt> - <dd>permet aux développeurs web d'expérimenter des stratégies en surveillant (mais non en appliquant) leurs effets. Ces rapports de violation sont constitués de documents {{Glossary("JSON")}} envoyés via une requête HTTP <code>POST</code> à l'URI spécifié.</dd> - <dt>{{HTTPHeader("Expect-CT")}}</dt> - <dd>permet aux sites de contrôler de manière stricte ou non l'adhérence aux règles de transparence des certificats, permettant ainsi de limiter les utilisations frauduleuses du certificat associé au site grâce à une vérification publique.</dd> - <dt>{{HTTPHeader("Feature-Policy")}}</dt> - <dd>permet d'autoriser ou d'interdire l'utilisation de fonctionnalités du navigateur dans son propre cadre et dans les cadres embarqués.</dd> - <dt>{{HTTPHeader("Origin-Isolation")}} {{experimental_inline}}</dt> - <dd>permet aux application web d'isoler leurs origines.</dd> - <dt>{{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}})</dt> - <dd>force la communication en utilisant HTTPS au lieu de HTTP.</dd> - <dt>{{HTTPHeader("Upgrade-Insecure-Requests")}}</dt> - <dd>envoie un signal au serveur exprimant la préférence du client pour une réponse chiffrée et authentifiée, et qu'il peut gérer avec succès la directive {{CSP("upgrade-insecure-requests")}}.</dd> - <dt>{{HTTPHeader("X-Content-Type-Options")}}</dt> - <dd>désactive le repérage MIME et force le navigateur à utiliser le type donné dans {{HTTPHeader("Content-Type")}}.</dd> - <dt>{{HTTPHeader("X-Download-Options")}}</dt> - <dd>indique que le navigateur (Internet Explorer uniquement) ne doit pas affiche l'option permettant d'ouvrir un fichier qui a été téléchargé depuis une application, pour empêcher les attaques par hameçonnage puisque le fichier pourrait autrement obtenir le droit de s'exécuter dans le contexte de l'application. Note : voir le <a href="https://developer.microsoft.com/en-us/microsoft-edge/platform/issues/18488178/">bogue MS Edge</a> associé.</dd> - <dt>{{HTTPHeader("X-Frame-Options")}} (XFO)</dt> - <dd>indique si un navigateur doit être autorisé à afficher une page dans un {{HTMLElement("frame")}}, {{HTMLElement("iframe")}} ou {{HTMLElement("object")}}.</dd> - <dt>{{HTTPHeader("X-Permitted-Cross-Domain-Policies")}}</dt> - <dd>Sépcifie si un fichier de règlementation interdomaines (<code>crossdomain.xml</code>) est autorisé. Ce fichier peut définir une règle pour accorder aux clients (comme Adobe Flash Player, Adobe Acrobat, Microsoft Silverlight ou Apache Flex) la permission de gérer des données entre domaines qui seraient autrement restreintes à cause de <a href="/fr/docs/Web/Security/Same-origin_policy">Same-Origin Policy</a>. Voir la <a href="https://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html">spécification Cross-domain Policy File</a> pour plus d'informations.</dd> - <dt>{{HTTPHeader("X-Powered-By")}}</dt> - <dd>peut être défini par l'environnement hôte ou par d'autres cadriciels, il contient des informations sur eux sans fournir aucun information utile à l'application ni aux visiteurs. Désactivez cet en-tête pour éviter d'exposer des informations et des vulnérabilités potentielles.</dd> - <dt>{{HTTPHeader("X-XSS-Protection")}}</dt> - <dd>active le filtrage de script intersite.</dd> -</dl> - -<h3 id="HTTP_Public_Key_Pinning_GlossaryHPKP">HTTP Public Key Pinning {{Glossary("HPKP")}}</h3> - -<p>HTTP Public Key Pinning a été déprécié et supprimé au profit de Certificate Transparency et {{HTTPHeader("Expect-CT")}}.</p> - -<dl> - <dt>{{HTTPHeader("Public-Key-Pins")}}</dt> - <dd>associe une clé publique cryptographique spécifique à un certain serveur web pour réduire le risque d'attaques {{Glossary("MitM")}} à l'aide de certificats falsifiés.</dd> - <dt>{{HTTPHeader("Public-Key-Pins-Report-Only")}}</dt> - <dd>envoie des rapports au <em>report-uri</em> spécifié dans l'en-tête et permet toujours aux clients de se connecter au serveur même si l'association à la clé cryptographique est violée.</dd> -</dl> - -<h3 id="En-têtes_de_requêtes_de_métadonnées">En-têtes de requêtes de métadonnées</h3> - -<dl> - <dt>{{HTTPHeader("Sec-Fetch-Site")}}</dt> - <dd>en-tête de requête indiquant la relation entre l'origine ayant initiée la requête et l'origine cible ; c'est un en-tête srtucutré dont la valeur peut être <code>cross-site</code>, <code>same-origin</code>, <code>same-site</code> ou <code>none</code>.</dd> - <dt>{{HTTPHeader("Sec-Fetch-Mode")}}</dt> - <dd>en-tête de requête indiquant le mode de requête à un serveur ; c'est un en-tête structuré dont la valeur peut être <code>cors</code>, <code>navigate</code>, <code>nested-navigate</code>, <code>no-cors</code>, <code>same-origin</code> ou <code>websocket</code>.</dd> - <dt>{{HTTPHeader("Sec-Fetch-User")}}</dt> - <dd>en-tête de requête indiquant si une requête de navigation a été déclenchée ou non par une action de l'utilisateur ; c'est un en-tête structuré dont la valeur est un booléen, soit <code>?0</code> ou pour faux et <code>?1</code> pour vrai.</dd> - <dt>{{HTTPHeader("Sec-Fetch-Dest")}}</dt> - <dd>en-tête de requête indiquant la destination de la requête à un serveur ; c'est un en-tête structuré dont la valeur peut être <code>audio</code>, <code>audioworklet</code>, <code>document</code>, <code>embed</code>, <code>empty</code>, <code>font</code>, <code>image</code>, <code>manifest</code>, <code>object</code>, <code>paintworklet</code>, <code>report</code>, <code>script</code>, <code>serviceworker</code>, <code>sharedworker</code>, <code>style</code>, <code>track</code>, <code>video</code>, <code>worker</code>, <code>xslt</code> ou <code>nested-document</code>.</dd> -</dl> - -<h2 id="Évènements_envoyés_par_le_serveur">Évènements envoyés par le serveur</h2> - -<dl> - <dt>{{HTTPHeader("Last-Event-ID")}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("NEL")}} {{experimental_inline}}</dt> - <dd>permet aux développeurs de déclarer une règlementation de rapportage d'erreur réseau.</dd> - <dt>{{HTTPHeader("Ping-From")}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("Ping-To")}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("Report-To")}}</dt> - <dd>utilisé pour spécifier un serveur de destination pour que le navigateur puisse y envoyer des rapports d'avertissements ou d'erreurs.</dd> -</dl> - -<h2 id="Codage_de_transfert">Codage de transfert</h2> - -<dl> - <dt>{{HTTPHeader("Transfer-Encoding")}}</dt> - <dd>spécifie la forme de codage utilisée pour transférer en toute sécurité l'entité à l'utilisateur.</dd> - <dt>{{HTTPHeader("TE")}}</dt> - <dd>spécifie les encodages de transfert que l'agent utilisateur est prêt à accepter.</dd> - <dt>{{HTTPHeader("Trailer")}}</dt> - <dd>permet à l'expéditeur d'inclure des champs supplémentaires à la fin du message segmenté.</dd> -</dl> - -<h2 id="WebSockets">WebSockets</h2> - -<dl> - <dt>{{HTTPHeader("Sec-WebSocket-Key")}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("Sec-WebSocket-Extensions")}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("Sec-WebSocket-Accept")}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("Sec-WebSocket-Protocol")}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("Sec-WebSocket-Version")}}</dt> - <dd>...</dd> -</dl> - -<h2 id="Autres">Autres</h2> - -<dl> - <dt>{{HTTPHeader("Accept-Push-Policy")}} {{experimental_inline}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("Accept-Signature")}} {{experimental_inline}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("Alt-Svc")}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("Date")}}</dt> - <dd>contient la date et l'heure à laquelle le message a été généré.</dd> - <dt>{{HTTPHeader("Large-Allocation")}}</dt> - <dd>indique au navigateur que la page en cours de chargement souhaite effectuer une allocation importante.</dd> - <dt>{{HTTPHeader("Link")}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("Push-Policy")}} {{experimental_inline}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("Retry-After")}}</dt> - <dd>indique combien de temps l'agent utilisateur doit attendre avant de faire une autre demande consécutive.</dd> - <dt>{{HTTPHeader("Signature")}} {{experimental_inline}}</dt> - <dd>communique une liste de signatures pour un échange, chacune accompagnée d'informations sur la manière de déterminer son autorité et de rafraichir cette signature.</dd> - <dt>{{HTTPHeader("Signed-Headers")}} {{experimental_inline}}</dt> - <dd>identifie une liste ordonnée de champs d'en-tête de réponse à inclure dans une signature.</dd> - <dt>{{HTTPHeader("Server-Timing")}}</dt> - <dd>communique un ou plusieurs indicateurs et descriptions pour le cycle requête-réponse donné.</dd> - <dt>{{HTTPHeader("Service-Worker-Allowed")}}</dt> - <dd>utilisé pour supprimer la <a href="https://w3c.github.io/ServiceWorker/#path-restriction">restriction de chemin</a> en incluant cet en-tête <a href="https://w3c.github.io/ServiceWorker/#service-worker-script-response">dans la réponse d'un script Service Worker</a>.</dd> - <dt>{{HTTPHeader("SourceMap")}}</dt> - <dd>liens ayant généré du code sur une <a href="/fr/docs/Outils/D%C3%A9bogueur/Comment/Utiliser_une_source_map">source</a>.</dd> - <dt>{{HTTPHeader("Upgrade")}}</dt> - <dd>le document RFC associé pour le <a href="https://tools.ietf.org/html/rfc7230#section-6.7">champ d'en-tête Upgrade est RFC 7230, section 6.7</a>. Le standard établit des règles pour la mise à niveau ou la modification d'un protocole différent sur le client, le serveur et la connexion au protocole de transport actuels. Par exemple, cette norme d'en-tête permet à un client de passer de HTTP 1.1 à HTTP 2.0, en supposant que le serveur décide de reconnaître et d'implémenter le champ d'en-tête Upgrade. Une requête de ce type ne peut etre contraignante et le serveur peut répondre en utilisant le protocole initial. Il peut être utilisé dans les en-têtes client et serveur. Si le champ d'en-tête Upgrade est spécifié, l'expéditeur DOIT également envoyer le champ d'en-tête Connection avec l'option de mise à niveau spécifiée. Pour plus de détails sur le <a href="https://tools.ietf.org/html/rfc7230#section-6.1">champ d'en-tête Connection, veuillez vous reporter à la section 6.1 du RFC susmentionné</a>.</dd> - <dt>{{HTTPHeader("X-DNS-Prefetch-Control")}}</dt> - <dd>contrôle le préchargement DNS, fonctionnalité par laquelle les navigateurs effectuent de manière proactive la résolution du nom de domaine sur les deux liens que l'utilisateur peut choisir de suivre ainsi que les URL des éléments référencés par le document, y compris les images, CSS, JavaScript, etc.</dd> - <dt>{{HTTPHeader("X-Firefox-Spdy")}} {{deprecated_inline}} {{non-standard_inline}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("X-Pingback")}} {{non-standard_inline}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("X-Requested-With")}}</dt> - <dd>...</dd> - <dt>{{HTTPHeader("X-Robots-Tag")}} {{non-standard_inline}}</dt> - <dd>indique comment une page doit être indexée dans les résultats publics des moteurs de recherche ; cet en-tête est équivalent à <code><meta name="robots" content="..."></code></dd> - <dt>{{HTTPHeader("X-UA-Compatible")}} {{non-standard_inline}}</dt> - <dd>Utilisé par Internet Explorer pour signaler quel mode de document utiliser.</dd> -</dl> - -<h2 id="Contribuer">Contribuer</h2> - -<p>Vous pouvez contribuer en <a href="/fr/docs/MDN/Contribute/Howto/Document_an_HTTP_header">ajoutant un nouvel en-tête à la liste</a> ou en améliorant la documentation existante.</p> - -<h2 id="Voir_aussi">Voir aussi</h2> - -<ul> - <li><a class="external" href="https://fr.wikipedia.org/wiki/Liste_des_codes_HTTP">Page Wikipédia sur la liste des en-têtes HTTP</a></li> - <li><a class="external" href="https://www.iana.org/assignments/message-headers/message-headers.xhtml">Registre des en-têtes par l'IANA</a> (en)</li> - <li><a href="https://httpwg.org/specs/">Groupe de travail HTTP</a></li> -</ul> +{{HTTPSidebar}} + +Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec la requête ou la réponse. Un en-tête de requête est constitué de son nom (insensible à la casse) suivi d'un deux-points `:`, puis de sa valeur (sans saut de ligne). L'espace blanc avant la valeur est ignoré. + +Des en-têtes propriétaires personnalisés peuvent être ajoutés en utilisant le préfixe `X-`, mais cette convention a été abandonnée en juin 2012, en raison des inconvénients qu'elle a présenté lorsque des champs non standard sont devenus standard dans [RFC 6648](https://tools.ietf.org/html/rfc6648); les autres en-têtes possibles sont listés dans une [liste IANA](https://www.iana.org/assignments/message-headers/message-headers.xhtml) et ont été définis dans la [RFC 4229](https://tools.ietf.org/html/rfc4229). IANA maintient également une [liste des propositions de nouveaux entêtes HTTP](https://www.iana.org/assignments/message-headers/message-headers.xhtml). + +Les en-têtes peuvent être groupés selon leur contexte : + +- {{Glossary("General header","En-tête général")}} : en-têtes s'appliquant à la fois aux requêtes et aux réponses mais sans rapport avec les données éventuellement transmises dans le corps de la requête ou de la réponse. +- {{Glossary("Request header","En-tête de requête")}} : en-têtes contenant plus d'informations au sujet de la ressource à aller chercher ou à propos du client lui-même. +- {{Glossary("Response header","En-tête de réponse")}} : en-têtes contenant des informations additionnelles au sujet de la réponse comme son emplacement, ou au sujet du serveur lui-même (nom et version, etc.) +- {{Glossary("Entity header","En-tête d'entité")}} : en-têtes contenant plus d'informations au sujet du corps de l'entité comme la longueur de son contenu ou son [type MIME](/fr/docs/Glossaire/Type_MIME). + +Les en-têtes peuvent aussi être groupés par la manière dont les {{Glossary("Proxy_server", "serveurs mandataires (proxies)")}} les traitent : + +- {{httpheader("Connection")}} +- {{httpheader("Keep-Alive")}} +- {{httpheader("Proxy-Authenticate")}} +- {{httpheader("Proxy-Authorization")}} +- {{httpheader("TE")}} +- {{httpheader("Trailer")}} +- {{httpheader("Transfer-Encoding")}} +- {{httpheader("Upgrade")}} (voir aussi [mécanisme de mise à jour de protocole](/fr/docs/Web/HTTP/Protocol_upgrade_mechanism)) + +<!----> + +- En-têtes de bout en bout ('End-to-end headers') : + - : Ces entêtes doivent être transmis au destinataire final du message ; c'est-à-dire le serveur dans le cas d'une requête ou le client dans le cas d'une réponse. Les serveurs mandataires intermédiaires doivent retransmettre les en-têtes de bout en bout sans modification et doivent les mettre en cache. +- En-têtes de point à point ('Hop-by-hop headers') : + - : Ces en-têtes n'ont de sens que pour une unique connexion de la [couche transport](https://fr.wikipedia.org/wiki/Couche_transport) et ne doivent pas être retransmis par des serveurs mandataires ou mis en cache. Il s'agit d'en-têtes tels que: {{httpheader("Connection")}}, {{httpheader("Keep-Alive")}}, {{httpheader("Proxy-Authenticate")}}, {{httpheader("Proxy-Authorization")}}, {{httpheader("TE")}}, {{httpheader("Trailer")}}, {{ httpheader("Transfer-Encoding")}} et {{httpheader("Upgrade")}}. A noter que seuls les en-têtes de point à point peuvent être utilisés avec l'en-tête général {{httpheader("Connection")}}. + +La liste suivante résume les en-têtes HTTP en fonction de leur utilisation. Une liste triée par ordre alphabétique est disponible dans le panneau de navigation à gauche. + +## Authentification + +- {{HTTPHeader("WWW-Authenticate")}} + - : définit la méthode d'authentification qui doit être utilisée pour obtenir l'accès à la ressource. +- {{HTTPHeader("Authorization")}} + - : contient les informations d'identification pour authentifier un agent utilisateur avec un serveur. +- {{HTTPHeader("Proxy-Authenticate")}} + - : définit la méthode d'authentification qui doit être utilisée pour obtenir la ressource derrière un serveur mandataire. +- {{HTTPHeader("Proxy-Authorization")}} + - : contient les informations d'identification nécessaires pour authentifier un agent utilisateur avec un serveur mandataire. + +## Mise en cache + +- {{HTTPHeader("Age")}} + - : la durée en secondes passée par l'objet dans un cache proxy. +- {{HTTPHeader("Cache-Control")}} + - : spécifie des directives pour les mécanismes de mise en cache dans les requêtes et les réponses. +- {{HTTPHeader("Clear-Site-Data")}} + - : nettoie les données de navigation (mouchards (_cookies_), stockage et cache) associé au site demandé. +- {{HTTPHeader("Expires")}} + - : la date et l'heure après lesquelles la réponse est considérée comme périmée. +- {{HTTPHeader("Pragma")}} + - : en-tête spécifique à la mise en œuvre pouvant avoir divers effets le long de la chaîne de requête-réponse. Utilisé pour la rétrocompatibilité avec les caches HTTP / 1.0 où l'en-tête `Cache-Control` n'est pas encore présent. +- {{HTTPHeader("Warning")}} + - : un champ d'avertissement général contenant des informations sur les problèmes possibles. + +## Astuces client + +Les {{Glossary("Client_hints", "astuces clients")}} HTTP sont enc cours de création. La documentation actuelle est disponible sur le [site du groupe de travail sur HTTP](https://httpwg.org/http-extensions/client-hints.html). + +- {{HTTPHeader("Accept-CH")}} {{experimental_inline}} + - : les serveurs peuvent informer de leur niveau de support pour les Client Hints en utilisant l'en-tête `Accept-CH` ou en HTML avec l'élément `<meta>` ayant l'attribut `http-equiv` ([\[HTML5\]](https://httpwg.org/http-extensions/client-hints.html#HTML5)). +- {{HTTPHeader("Accept-CH-Lifetime")}} {{experimental_inline}} + - : les serveurs peuvent demander au client de mémoriser l'ensemble des Client Hints que le serveur supporte pour une période de temps donnée, afin de permettre la livraison de Client Hints sur les requêtes suivantes vers l'origine du serveur ([\[RFC6454\]](https://httpwg.org/http-extensions/client-hints.html#RFC6454)). +- {{HTTPHeader("Content-DPR")}} {{experimental_inline}} + - : un nombre indiquant le rapport entre le nombre de pixels physiques et le nombre de pixels CSS de l'image réponse sélectionnée. +- {{HTTPHeader("DPR")}} {{experimental_inline}} + - : un nombre indiquant le Device Pixel Ratio (DPR) actuel du client, qui est le rapport du nombre de pixels physiques sur le nombre de pixels CSS (Section 5.2 of [\[CSSVAL\]](https://httpwg.org/http-extensions/client-hints.html#CSSVAL)) de la zone d'affichage (Section 9.1.1 of [\[CSS2\]](https://httpwg.org/http-extensions/client-hints.html#CSS2)) sur l'appareil. +- {{HTTPHeader("Device-Memory")}} {{experimental_inline}} + - : faisant techniquement partie de l'API Device Memory, cet en-tête représente la quantité approximative de mémoire vive dont le client dispose. +- {{HTTPHeader("Early-Data")}} {{experimental_inline}} + - : indique que les requêtes doivent être communiquées en TLS early data. +- {{HTTPHeader("Save-Data")}} {{experimental_inline}} + - : booléen indiquant les préférences de l'agent utilisateur pour réduire la quantité de données transmises. +- {{HTTPHeader("Viewport-Width")}} {{experimental_inline}} + - : la largeur de la zone d'affichage, soit le nombre de pixels CSS. La valeur fournise est arrondie au plus grand proche supérieur. Si `Viewport-Width` apparait dans un message plus d'une fois, la dernière valeur écrase toutes les valeurs précédentes. +- {{HTTPHeader("Width")}} {{experimental_inline}} + - : l'en-tête de requête `Width` représente la largeur de la ressource voulue en nombre de pixels physiques. La valeur fournise est arrondie au plus proche entier supérieur. Si la largeur de la ressource voulue est inconnue quand la requête ou la ressource n'a pas de largeur d'affichage, l'en-tête `Width` peut être omise. Si `Width` apparait dans un message plus d'une fois, la dernière valeur écrase toutes les valeurs précédentes. + +## Conditionnels + +- {{HTTPHeader("Last-Modified")}} + - : c'est un validateur, la dernière date de modification de la ressource, utilisée pour comparer plusieurs versions de la même ressource. Il est moins précis que {{HTTPHeader("ETag")}}, mais plus facile à calculer dans certains environnements. Les requêtes conditionnelles utilisant {{HTTPHeader("If-Modified-Since")}} et {{HTTPHeader("If-Unmodified-Since")}} utilisent cette valeur pour modifier le comportement de la requête. +- {{HTTPHeader("ETag")}} + - : c'est un validateur, une chaîne unique identifiant la version de la ressource. Les requêtes conditionnelles utilisant {{HTTPHeader("If-Match")}} et {{HTTPHeader("If-None-Match")}} utilisent cette valeur pour changer le comportement de la requête. +- {{HTTPHeader("If-Match")}} + - : rend la requête conditionnelle et n'applique la méthode que si la ressource stockée correspond à l'un des ETags donnés. +- {{HTTPHeader("If-None-Match")}} + - : rend la requête conditionnelle et n'applique la méthode que si la ressource stockée ne correspond à aucun des ETags donnés. Ceci est utilisé pour mettre à jour les caches (pour les requêtes sécurisées), ou pour empêcher de télécharger une nouvelle ressource lorsqu'elle existe déjà. +- {{HTTPHeader("If-Modified-Since")}} + - : rend la requête conditionnelle et attend que l'entité soit transmise seulement si elle a été modifiée après la date donnée. Ceci est utilisé pour transmettre des données uniquement lorsque le cache est obsolète. +- {{HTTPHeader("If-Unmodified-Since")}} + - : rend la demande conditionnelle et attend que l'entité soit transmise seulement si elle n'a pas été modifiée après la date donnée. Ceci est utilisé pour assurer la cohérence d'un nouveau fragment d'une plage spécifique avec les précédentes, ou pour implémenter un système de contrôle de concurrence optimiste lors de la modification de documents existants. +- {{HTTPHeader("Vary")}} + - : détermine comment faire correspondre les futurs en-têtes de demande pour décider si une réponse mise en cache peut être utilisée plutôt que d'en demander une nouvelle au serveur d'origine. + +## Gestion de connexion + +- {{HTTPHeader("Connection")}} + - : contrôle si la connexion réseau reste ouverte après la fin de la transaction en cours. +- {{HTTPHeader("Keep-Alive")}} + - : contrôle la durée pendant laquelle une connexion persistante doit rester ouverte. + +## Négociation de contenu + +- {{HTTPHeader("Accept")}} + - : informe le serveur des types de données pouvant être renvoyés. C'est un type MIME. +- {{HTTPHeader("Accept-Charset")}} + - : informe le serveur du jeu de caractères que le client peut comprendre. +- {{HTTPHeader("Accept-Encoding")}} + - : informe le serveur sur l'algorithme de codage, généralement un algorithme de compression, qui peut être utilisé sur la ressource renvoyée. +- {{HTTPHeader("Accept-Language")}} + - : informe le serveur de la langue que le serveur doit renvoyer. Ceci est un indice et n'est pas nécessairement sous le contrôle total de l'utilisateur : le serveur doit toujours faire attention à ne pas remplacer un choix explicite de l'utilisateur (telle la sélection d'une langue dans une liste déroulante). + +## Contrôles + +- {{HTTPHeader("Expect")}} + - : indique ce qui est attendu de la part du serveur afin de pouvoier gérer correctement la requête. +- {{HTTPHeader("Max-Forwards")}} + - : ... + +## Cookies + +- {{HTTPHeader("Cookie")}} + - : contient les [cookies HTTP](/fr/docs/HTTP/Cookies) stockés précédemment envoyés par le serveur à l'aide de l'en-tête {{HTTPHeader("Set-Cookie")}}. +- {{HTTPHeader("Set-Cookie")}} + - : envoie des cookies du serveur à l'agent utilisateur. +- {{HTTPHeader("Cookie2")}} {{obsolete_inline}} + - : utilisé pour contenir un cookie HTTP, précédemment envoyé par le serveur avec l'en-tête {{HTTPHeader("Set-Cookie2")}}, mais qui a été rendu obsolète par la spécification. Utilisez {{HTTPHeader("Cookie")}} à la place. +- {{HTTPHeader("Set-Cookie2")}} {{obsolete_inline}} + - : utilisé pour envoyer des cookies du serveur à l'agent utilisateur, mais a été rendu obsolète par la spécification. Utilisez {{HTTPHeader("Set-Cookie")}} à la place. + +## [Cross-Origin Resource Sharing (CORS)](/fr/docs/Web/HTTP/CORS) + +- {{HTTPHeader("Access-Control-Allow-Origin")}} + - : indique si la réponse peut être partagée. +- {{HTTPHeader("Access-Control-Allow-Credentials")}} + - : indique si la réponse à la demande peut être exposée lorsque l'indicateur d'informations d'identification est vrai. +- {{HTTPHeader("Access-Control-Allow-Headers")}} + - : utilisé en réponse à une demande de contrôle en amont pour indiquer quels en-têtes HTTP peuvent être utilisés lors de la requête effective. +- {{HTTPHeader("Access-Control-Allow-Methods")}} + - : spécifie la ou les méthodes autorisées lors de l'accès à la ressource en réponse à une demande de contrôle en amont. +- {{HTTPHeader("Access-Control-Expose-Headers")}} + - : indique en-têtes pouvant être exposés dans le cadre de la réponse en listant leurs noms. +- {{HTTPHeader("Access-Control-Max-Age")}} + - : indique la durée pendant laquelle les résultats d'une demande de contrôle en amont peuvent être mis en cache. +- {{HTTPHeader("Access-Control-Request-Headers")}} + - : utilisé lors de l'émission d'une demande de contrôle en amont pour indiquer au serveur les en-têtes HTTP qui seront utilisés lors de la requête effective. +- {{HTTPHeader("Access-Control-Request-Method")}} + - : Utilisé lors de l'émission d'une demande de contrôle en amont pour indiquer au serveur la [méthode HTTP](/fr/docs/Web/HTTP/Methods) à utiliser lors de la requête. +- {{HTTPHeader("Origin")}} + - : indique l'origine d'une consultation. +- {{HTTPHeader("Timing-Allow-Origin")}} + - : spécifie les origines autorisées à voir les valeurs des attributs récupérés via les fonctionnalités de l'[API Resource Timing](/fr/docs/Web/API/Resource_Timing_API), qui seraient autrement signalées comme étant zéro en raison des restrictions d'origines croisées. + +## Ne pas suivre + +- {{HTTPHeader("DNT")}} + - : utilisé pour exprimer la préférence de suivi de l'utilisateur. +- {{HTTPHeader("Tk")}} + - : indique l'état de suivi appliqué à la demande correspondante. + +## Téléchargements + +- {{HTTPHeader("Content-Disposition")}} + - : est un en-tête de réponse si la ressource transmise doit être affichée en ligne (comportement par défaut lorsque l'en-tête n'est pas présent), ou doit être traitée comme un téléchargement et le navigateur doit présenter une fenêtre "Enregistrer sous". + +## Informations sur le corps du message + +- {{HTTPHeader("Content-Length")}} + - : indique la taille du corps d'entité, en nombre décimal d'octets, envoyée au destinataire. +- {{HTTPHeader("Content-Type")}} + - : indique le type de média de la ressource. +- {{HTTPHeader("Content-Encoding")}} + - : utilisé pour spécifier l'algorithme de compression. +- {{HTTPHeader("Content-Language")}} + - : décrit la (les) langue(s) destinée(s) à l'audience, de sorte qu'elle permette à l'utilisateur de se différencier en fonction de la langue préférée de l'utilisateur. +- {{HTTPHeader("Content-Location")}} + - : indique un emplacement pour les données renvoyées. + +## Proxies + +- {{HTTPHeader("Forwarded")}} + - : contient des informations du côté client des serveurs proxy qui sont modifiées ou perdues lorsqu'un proxy est impliqué dans le chemin de la requête. +- {{HTTPHeader("X-Forwarded-For")}} {{non-standard_inline}} + - : identifie les adresses IP d'origine d'un client se connectant à un serveur Web via un proxy HTTP ou un répartiteur de charge. +- {{HTTPHeader("X-Forwarded-Host")}} {{non-standard_inline}} + - : identifie l'hôte d'origine demandé à un client pour se connecter à votre proxy ou à votre équilibreur de charge. +- {{HTTPHeader("X-Forwarded-Proto")}} {{non-standard_inline}} + - : identifie le protocole (HTTP ou HTTPS) utilisé par un client pour se connecter à votre proxy ou votre équilibreur de charge. +- {{HTTPHeader("Via")}} + - : ajoutés par des proxies, directs et inverses, et peuvent apparaître dans les en-têtes de requête et les en-têtes de réponse. + +## Redirection + +- {{HTTPHeader("Location")}} + - : indique l'URL de la page de redirection. + +## Contexte de requête + +- {{HTTPHeader("From")}} + - : contient une adresse électronique Internet pour un utilisateur humain qui contrôle l'agent utilisateur demandeur. +- {{HTTPHeader("Host")}} + - : indique le nom de domaine du serveur (pour l'hébergement virtuel) et (facultativement) le numéro de port TCP sur lequel le serveur écoute. +- {{HTTPHeader("Referer")}} + - : L'adresse de la page Web précédente à partir de laquelle un lien vers la page actuellement demandée a été suivi. +- {{HTTPHeader("Referrer-Policy")}} + - : indique quelles informations de provenance envoyées dans l'en-tête {{HTTPHeader("Referer")}} doivent être incluses dans les requêtes effectuées. +- {{HTTPHeader("User-Agent")}} + - : contient une chaîne caractéristique qui permet aux homologues du protocole réseau d'identifier le type d'application, le système d'exploitation, le fournisseur du logiciel ou la version du logiciel de l'agent utilisateur du logiciel demandeur. Voir aussi [la référence de chaîne de l'agent utilisateur Firefox](/fr/docs/HTTP/Gecko_user_agent_string_reference). + +## Contexte de réponse + +- {{HTTPHeader("Allow")}} + - : répertorie l'ensemble des méthodes de requête HTTP prises en charge par une ressource. +- {{HTTPHeader("Server")}} + - : contient des informations sur le logiciel utilisé par le serveur d'origine pour gérer la demande. + +## Demandes de plage + +- {{HTTPHeader("Accept-Ranges")}} + - : indique si le serveur prend en charge les demandes de plage et, le cas échéant, dans quelle unité la plage peut être exprimée. +- {{HTTPHeader("Range")}} + - : indique la partie d'un document que le serveur doit renvoyer. +- {{HTTPHeader("If-Range")}} + - : crée une requête de plage conditionnelle qui n'est remplie que si l'étiquette et la date correspondent à la ressource distante. Utilisé pour empêcher le téléchargement de deux plages à partir d'une version incompatible de la ressource. +- {{HTTPHeader("Content-Range")}} + - : situe une partie de message à l'intérieur du corps d'un message entier. + +## Sécurité + +- {{HTTPHeader("Cross-Origin-Embedder-Policy")}} ({{Glossary("COEP")}}) + - : autorise un serveur à déclarer une règlementation sur les contenus embarqués pour un document donné. + +<!----> + +- {{HTTPHeader("Cross-Origin-Opener-Policy")}} ({{Glossary("COOP")}}) + - : interdit les autres domaines d'ouvrir ou de contrôler une fenêtre. + +<!----> + +- {{HTTPHeader("Cross-Origin-Resource-Policy")}} ({{Glossary("CORP")}}) + - : interdit les autre domaines de lire la réponse des ressources si cet en-tête leur est appliqué. + +<!----> + +- {{HTTPHeader("Content-Security-Policy")}} ({{Glossary("CSP")}}) + - : contrôle les ressources que l'agent utilisateur est autorisé à charger pour une page donnée. +- {{HTTPHeader("Content-Security-Policy-Report-Only")}} + - : permet aux développeurs web d'expérimenter des stratégies en surveillant (mais non en appliquant) leurs effets. Ces rapports de violation sont constitués de documents {{Glossary("JSON")}} envoyés via une requête HTTP `POST` à l'URI spécifié. +- {{HTTPHeader("Expect-CT")}} + - : permet aux sites de contrôler de manière stricte ou non l'adhérence aux règles de transparence des certificats, permettant ainsi de limiter les utilisations frauduleuses du certificat associé au site grâce à une vérification publique. +- {{HTTPHeader("Feature-Policy")}} + - : permet d'autoriser ou d'interdire l'utilisation de fonctionnalités du navigateur dans son propre cadre et dans les cadres embarqués. +- {{HTTPHeader("Origin-Isolation")}} {{experimental_inline}} + - : permet aux application web d'isoler leurs origines. +- {{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}}) + - : force la communication en utilisant HTTPS au lieu de HTTP. +- {{HTTPHeader("Upgrade-Insecure-Requests")}} + - : envoie un signal au serveur exprimant la préférence du client pour une réponse chiffrée et authentifiée, et qu'il peut gérer avec succès la directive {{CSP("upgrade-insecure-requests")}}. +- {{HTTPHeader("X-Content-Type-Options")}} + - : désactive le repérage MIME et force le navigateur à utiliser le type donné dans {{HTTPHeader("Content-Type")}}. +- {{HTTPHeader("X-Download-Options")}} + - : indique que le navigateur (Internet Explorer uniquement) ne doit pas affiche l'option permettant d'ouvrir un fichier qui a été téléchargé depuis une application, pour empêcher les attaques par hameçonnage puisque le fichier pourrait autrement obtenir le droit de s'exécuter dans le contexte de l'application. Note : voir le [bogue MS Edge](https://developer.microsoft.com/en-us/microsoft-edge/platform/issues/18488178/) associé. +- {{HTTPHeader("X-Frame-Options")}} (XFO) + - : indique si un navigateur doit être autorisé à afficher une page dans un {{HTMLElement("frame")}}, {{HTMLElement("iframe")}} ou {{HTMLElement("object")}}. +- {{HTTPHeader("X-Permitted-Cross-Domain-Policies")}} + - : Sépcifie si un fichier de règlementation interdomaines (`crossdomain.xml`) est autorisé. Ce fichier peut définir une règle pour accorder aux clients (comme Adobe Flash Player, Adobe Acrobat, Microsoft Silverlight ou Apache Flex) la permission de gérer des données entre domaines qui seraient autrement restreintes à cause de [Same-Origin Policy](/fr/docs/Web/Security/Same-origin_policy). Voir la [spécification Cross-domain Policy File](https://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html) pour plus d'informations. +- {{HTTPHeader("X-Powered-By")}} + - : peut être défini par l'environnement hôte ou par d'autres cadriciels, il contient des informations sur eux sans fournir aucun information utile à l'application ni aux visiteurs. Désactivez cet en-tête pour éviter d'exposer des informations et des vulnérabilités potentielles. +- {{HTTPHeader("X-XSS-Protection")}} + - : active le filtrage de script intersite. + +### HTTP Public Key Pinning {{Glossary("HPKP")}} + +HTTP Public Key Pinning a été déprécié et supprimé au profit de Certificate Transparency et {{HTTPHeader("Expect-CT")}}. + +- {{HTTPHeader("Public-Key-Pins")}} + - : associe une clé publique cryptographique spécifique à un certain serveur web pour réduire le risque d'attaques {{Glossary("MitM")}} à l'aide de certificats falsifiés. +- {{HTTPHeader("Public-Key-Pins-Report-Only")}} + - : envoie des rapports au _report-uri_ spécifié dans l'en-tête et permet toujours aux clients de se connecter au serveur même si l'association à la clé cryptographique est violée. + +### En-têtes de requêtes de métadonnées + +- {{HTTPHeader("Sec-Fetch-Site")}} + - : en-tête de requête indiquant la relation entre l'origine ayant initiée la requête et l'origine cible ; c'est un en-tête srtucutré dont la valeur peut être `cross-site`, `same-origin`, `same-site` ou `none`. +- {{HTTPHeader("Sec-Fetch-Mode")}} + - : en-tête de requête indiquant le mode de requête à un serveur ; c'est un en-tête structuré dont la valeur peut être `cors`, `navigate`, `nested-navigate`, `no-cors`, `same-origin` ou `websocket`. +- {{HTTPHeader("Sec-Fetch-User")}} + - : en-tête de requête indiquant si une requête de navigation a été déclenchée ou non par une action de l'utilisateur ; c'est un en-tête structuré dont la valeur est un booléen, soit `?0` ou pour faux et `?1` pour vrai. +- {{HTTPHeader("Sec-Fetch-Dest")}} + - : en-tête de requête indiquant la destination de la requête à un serveur ; c'est un en-tête structuré dont la valeur peut être `audio`, `audioworklet`, `document`, `embed`, `empty`, `font`, `image`, `manifest`, `object`, `paintworklet`, `report`, `script`, `serviceworker`, `sharedworker`, `style`, `track`, `video`, `worker`, `xslt` ou `nested-document`. + +## Évènements envoyés par le serveur + +- {{HTTPHeader("Last-Event-ID")}} + - : ... +- {{HTTPHeader("NEL")}} {{experimental_inline}} + - : permet aux développeurs de déclarer une règlementation de rapportage d'erreur réseau. +- {{HTTPHeader("Ping-From")}} + - : ... +- {{HTTPHeader("Ping-To")}} + - : ... +- {{HTTPHeader("Report-To")}} + - : utilisé pour spécifier un serveur de destination pour que le navigateur puisse y envoyer des rapports d'avertissements ou d'erreurs. + +## Codage de transfert + +- {{HTTPHeader("Transfer-Encoding")}} + - : spécifie la forme de codage utilisée pour transférer en toute sécurité l'entité à l'utilisateur. +- {{HTTPHeader("TE")}} + - : spécifie les encodages de transfert que l'agent utilisateur est prêt à accepter. +- {{HTTPHeader("Trailer")}} + - : permet à l'expéditeur d'inclure des champs supplémentaires à la fin du message segmenté. + +## WebSockets + +- {{HTTPHeader("Sec-WebSocket-Key")}} + - : ... +- {{HTTPHeader("Sec-WebSocket-Extensions")}} + - : ... +- {{HTTPHeader("Sec-WebSocket-Accept")}} + - : ... +- {{HTTPHeader("Sec-WebSocket-Protocol")}} + - : ... +- {{HTTPHeader("Sec-WebSocket-Version")}} + - : ... + +## Autres + +- {{HTTPHeader("Accept-Push-Policy")}} {{experimental_inline}} + - : ... +- {{HTTPHeader("Accept-Signature")}} {{experimental_inline}} + - : ... +- {{HTTPHeader("Alt-Svc")}} + - : ... +- {{HTTPHeader("Date")}} + - : contient la date et l'heure à laquelle le message a été généré. +- {{HTTPHeader("Large-Allocation")}} + - : indique au navigateur que la page en cours de chargement souhaite effectuer une allocation importante. +- {{HTTPHeader("Link")}} + - : ... +- {{HTTPHeader("Push-Policy")}} {{experimental_inline}} + - : ... +- {{HTTPHeader("Retry-After")}} + - : indique combien de temps l'agent utilisateur doit attendre avant de faire une autre demande consécutive. +- {{HTTPHeader("Signature")}} {{experimental_inline}} + - : communique une liste de signatures pour un échange, chacune accompagnée d'informations sur la manière de déterminer son autorité et de rafraichir cette signature. +- {{HTTPHeader("Signed-Headers")}} {{experimental_inline}} + - : identifie une liste ordonnée de champs d'en-tête de réponse à inclure dans une signature. +- {{HTTPHeader("Server-Timing")}} + - : communique un ou plusieurs indicateurs et descriptions pour le cycle requête-réponse donné. +- {{HTTPHeader("Service-Worker-Allowed")}} + - : utilisé pour supprimer la [restriction de chemin](https://w3c.github.io/ServiceWorker/#path-restriction) en incluant cet en-tête [dans la réponse d'un script Service Worker](https://w3c.github.io/ServiceWorker/#service-worker-script-response). +- {{HTTPHeader("SourceMap")}} + - : liens ayant généré du code sur une [source](/fr/docs/Outils/D%C3%A9bogueur/Comment/Utiliser_une_source_map). +- {{HTTPHeader("Upgrade")}} + - : le document RFC associé pour le [champ d'en-tête Upgrade est RFC 7230, section 6.7](https://tools.ietf.org/html/rfc7230#section-6.7). Le standard établit des règles pour la mise à niveau ou la modification d'un protocole différent sur le client, le serveur et la connexion au protocole de transport actuels. Par exemple, cette norme d'en-tête permet à un client de passer de HTTP 1.1 à HTTP 2.0, en supposant que le serveur décide de reconnaître et d'implémenter le champ d'en-tête Upgrade. Une requête de ce type ne peut etre contraignante et le serveur peut répondre en utilisant le protocole initial. Il peut être utilisé dans les en-têtes client et serveur. Si le champ d'en-tête Upgrade est spécifié, l'expéditeur DOIT également envoyer le champ d'en-tête Connection avec l'option de mise à niveau spécifiée. Pour plus de détails sur le [champ d'en-tête Connection, veuillez vous reporter à la section 6.1 du RFC susmentionné](https://tools.ietf.org/html/rfc7230#section-6.1). +- {{HTTPHeader("X-DNS-Prefetch-Control")}} + - : contrôle le préchargement DNS, fonctionnalité par laquelle les navigateurs effectuent de manière proactive la résolution du nom de domaine sur les deux liens que l'utilisateur peut choisir de suivre ainsi que les URL des éléments référencés par le document, y compris les images, CSS, JavaScript, etc. +- {{HTTPHeader("X-Firefox-Spdy")}} {{deprecated_inline}} {{non-standard_inline}} + - : ... +- {{HTTPHeader("X-Pingback")}} {{non-standard_inline}} + - : ... +- {{HTTPHeader("X-Requested-With")}} + - : ... +- {{HTTPHeader("X-Robots-Tag")}} {{non-standard_inline}} + - : indique comment une page doit être indexée dans les résultats publics des moteurs de recherche ; cet en-tête est équivalent à `<meta name="robots" content="...">` +- {{HTTPHeader("X-UA-Compatible")}} {{non-standard_inline}} + - : Utilisé par Internet Explorer pour signaler quel mode de document utiliser. + +## Contribuer + +Vous pouvez contribuer en [ajoutant un nouvel en-tête à la liste](/fr/docs/MDN/Contribute/Howto/Document_an_HTTP_header) ou en améliorant la documentation existante. + +## Voir aussi + +- [Page Wikipédia sur la liste des en-têtes HTTP](https://fr.wikipedia.org/wiki/Liste_des_codes_HTTP) +- [Registre des en-têtes par l'IANA](https://www.iana.org/assignments/message-headers/message-headers.xhtml) (en) +- [Groupe de travail HTTP](https://httpwg.org/specs/) diff --git a/files/fr/web/http/headers/last-modified/index.md b/files/fr/web/http/headers/last-modified/index.md index fb9408d5b2..b0f4163570 100644 --- a/files/fr/web/http/headers/last-modified/index.md +++ b/files/fr/web/http/headers/last-modified/index.md @@ -8,83 +8,68 @@ tags: - Reference translation_of: Web/HTTP/Headers/Last-Modified --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'entête HTTP de réponse <strong><code>Last-Modified</code></strong> contient la date et l'heure à laquelle le serveur d'origine pense que la ressource a été modifiée pour la dernière fois. Il est utilisé comme un validateur pour déterminer si une ressource reçue et une stockée sont les mêmes. Moins précis qu'un entête {{HTTPHeader("ETag")}}, c'est un mécanisme de rechange. Les requêtes conditionnelles contenant des entêtes {{HTTPHeader("If-Modified-Since")}} ou {{HTTPHeader("If-Unmodified-Since")}} font usage de ce champ.</p> +L'entête HTTP de réponse **`Last-Modified`** contient la date et l'heure à laquelle le serveur d'origine pense que la ressource a été modifiée pour la dernière fois. Il est utilisé comme un validateur pour déterminer si une ressource reçue et une stockée sont les mêmes. Moins précis qu'un entête {{HTTPHeader("ETag")}}, c'est un mécanisme de rechange. Les requêtes conditionnelles contenant des entêtes {{HTTPHeader("If-Modified-Since")}} ou {{HTTPHeader("If-Unmodified-Since")}} font usage de ce champ. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'entête</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - <tr> - <th scope="row">{{Glossary("Simple response header", "CORS-safelisted response-header")}}</th> - <td>oui</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'entête</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + <tr> + <th scope="row"> + {{Glossary("Simple response header", "CORS-safelisted response-header")}} + </th> + <td>oui</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Last-Modified: <nom-jour>, <jour> <mois> <année> <heure>:<minute>:<seconde> GMT -</pre> + Last-Modified: <nom-jour>, <jour> <mois> <année> <heure>:<minute>:<seconde> GMT -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><nom-jour></dt> - <dd>Un nom parmi "Mon", "Tue", "Wed", "Thu", "Fri", "Sat", ou "Sun" (sensible à la casse).</dd> - <dt><jour></dt> - <dd>Jour sur 2 chiffres, par ex. "04" ou "23".</dd> - <dt><mois></dt> - <dd>Un mois parmi "Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" (sensible à la casse).</dd> - <dt><année></dt> - <dd>Millésime sur 4 chiffres, par ex. "1990" ou "2016".</dd> - <dt><heure></dt> - <dd>Heure sur 2 chiffres, par ex. "09" ou "23".</dd> - <dt><minute></dt> - <dd>Minute sur 2 chiffres, par ex. "04" ou "59".</dd> - <dt><seconde></dt> - <dd>Seconde sur 2 chiffres, par ex. "04" ou "59".</dd> - <dt><code>GMT</code></dt> - <dd> - <p>Greenwich Mean Time. Les dates HTTP sont toujours exprimées en GMT, jamais en heure locale.</p> - </dd> -</dl> +- \<nom-jour> + - : Un nom parmi "Mon", "Tue", "Wed", "Thu", "Fri", "Sat", ou "Sun" (sensible à la casse). +- \<jour> + - : Jour sur 2 chiffres, par ex. "04" ou "23". +- \<mois> + - : Un mois parmi "Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec" (sensible à la casse). +- \<année> + - : Millésime sur 4 chiffres, par ex. "1990" ou "2016". +- \<heure> + - : Heure sur 2 chiffres, par ex. "09" ou "23". +- \<minute> + - : Minute sur 2 chiffres, par ex. "04" ou "59". +- \<seconde> + - : Seconde sur 2 chiffres, par ex. "04" ou "59". +- `GMT` + - : Greenwich Mean Time. Les dates HTTP sont toujours exprimées en GMT, jamais en heure locale. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Last-Modified: Wed, 21 Oct 2015 07:28:00 GMT -</pre> + Last-Modified: Wed, 21 Oct 2015 07:28:00 GMT -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7232", "Last-Modified", "2.2")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests</td> - </tr> - </tbody> -</table> +| Spécification | Titre | +| ---------------------------------------------------- | ------------------------------------------------------------ | +| {{RFC("7232", "Last-Modified", "2.2")}} | Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests | -<h2 id="Compatibilité_navigateurs">Compatibilité navigateurs</h2> +## Compatibilité navigateurs -<p>{{Compat("http.headers.Last-Modified")}}</p> +{{Compat("http.headers.Last-Modified")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("If-Modified-Since")}}</li> - <li>{{HTTPHeader("If-Unmodified-Since")}}</li> - <li>{{HTTPHeader("Etag")}}</li> -</ul> +- {{HTTPHeader("If-Modified-Since")}} +- {{HTTPHeader("If-Unmodified-Since")}} +- {{HTTPHeader("Etag")}} diff --git a/files/fr/web/http/headers/location/index.md b/files/fr/web/http/headers/location/index.md index 2a6447e69e..5dc0666208 100644 --- a/files/fr/web/http/headers/location/index.md +++ b/files/fr/web/http/headers/location/index.md @@ -3,74 +3,58 @@ title: Location slug: Web/HTTP/Headers/Location translation_of: Web/HTTP/Headers/Location --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête de réponse <code>Location</code> indique l'URL vers laquelle rediriger une page. Il a un sens seulement lorsqu'il est servi avec une réponse d'état <code>3xx</code> (redirection) ou <code>201</code> (créé).</p> +L'en-tête de réponse `Location` indique l'URL vers laquelle rediriger une page. Il a un sens seulement lorsqu'il est servi avec une réponse d'état `3xx` (redirection) ou `201` (créé). -<p>En cas de redirection, la méthode HTTP utilisée pour la nouvelle requête de récupération de la page pointée par <code>Location</code> dépend la méthode d'origine et du type de redirection :</p> +En cas de redirection, la méthode HTTP utilisée pour la nouvelle requête de récupération de la page pointée par `Location` dépend la méthode d'origine et du type de redirection : -<ul> - <li>Si les réponses {{HTTPStatus("303")}} (Voir Aussi) conduisent toujours à l'utilisation d'une méthode {{HTTPMethod("GET")}}, {{HTTPStatus("307")}} (Redirection Temporaire) et {{HTTPStatus("308")}} (Redirection Permanente) ne modifient pas la méthode utilisée dans la demande d'origine;</li> - <li>{{HTTPStatus("301")}} (Redirection permanente) et {{HTTPStatus("302")}} (Trouvé) ne change pas la méthode la plupart du temps, bien que les user-agents plus anciens puissent.</li> -</ul> +- Si les réponses {{HTTPStatus("303")}} (Voir Aussi) conduisent toujours à l'utilisation d'une méthode {{HTTPMethod("GET")}}, {{HTTPStatus("307")}} (Redirection Temporaire) et {{HTTPStatus("308")}} (Redirection Permanente) ne modifient pas la méthode utilisée dans la demande d'origine; +- {{HTTPStatus("301")}} (Redirection permanente) et {{HTTPStatus("302")}} (Trouvé) ne change pas la méthode la plupart du temps, bien que les user-agents plus anciens puissent. -<p>Toutes les réponses avec l'un de ces codes d'état envoient un en-tête <code>Location</code>.</p> +Toutes les réponses avec l'un de ces codes d'état envoient un en-tête `Location`. -<p>En cas de création de ressource, il indique l'URL de la ressource nouvellement créée.</p> +En cas de création de ressource, il indique l'URL de la ressource nouvellement créée. -<p><code>Location</code> et {{HTTPHeader("Content-Location")}} sont différents : <code>Location</code> indique la cible d'une redirection (ou l'URL d'une ressource nouvellement créée), tandis que {{HTTPHeader("Content-Location")}} indique l'URL directe à utiliser pour accéder à la ressource lorsque la négociation de contenu a eu lieu, sans qu'il soit nécessaire de poursuivre la négociation de contenu. L'emplacement est un en-tête associé à la réponse, tandis que {{HTTPHeader("Content-Location")}} est associé à l'entité renvoyée.</p> +`Location` et {{HTTPHeader("Content-Location")}} sont différents : `Location` indique la cible d'une redirection (ou l'URL d'une ressource nouvellement créée), tandis que {{HTTPHeader("Content-Location")}} indique l'URL directe à utiliser pour accéder à la ressource lorsque la négociation de contenu a eu lieu, sans qu'il soit nécessaire de poursuivre la négociation de contenu. L'emplacement est un en-tête associé à la réponse, tandis que {{HTTPHeader("Content-Location")}} est associé à l'entité renvoyée. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Location: <url> -</pre> + Location: <url> -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><url></dt> - <dd>Une URL relative (à l'URL de la demande) ou absolue.</dd> -</dl> +- \<url> + - : Une URL relative (à l'URL de la demande) ou absolue. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Location: /index.html</pre> + Location: /index.html -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Specification</th> - <th scope="col">Title</th> - </tr> - <tr> - <td>{{RFC("7231", "Location", "7.1.2")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content</td> - </tr> - </tbody> -</table> +| Specification | Title | +| ------------------------------------------------ | ------------------------------------------------------------- | +| {{RFC("7231", "Location", "7.1.2")}} | Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content | -<h2 id="Compatibilité_navigateurs">Compatibilité navigateurs</h2> +## Compatibilité navigateurs -<p>{{Compat("http.headers.Location")}}</p> +{{Compat("http.headers.Location")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Location")}}</li> - <li>État des réponses, y compris un en-tête <code>Location</code> : {{HTTPStatus("201")}}, {{HTTPStatus("301")}}, {{HTTPStatus("302")}}, {{HTTPStatus("303")}}, {{HTTPStatus("307")}}, {{HTTPStatus("308")}}.</li> -</ul> +- {{HTTPHeader("Content-Location")}} +- État des réponses, y compris un en-tête `Location` : {{HTTPStatus("201")}}, {{HTTPStatus("301")}}, {{HTTPStatus("302")}}, {{HTTPStatus("303")}}, {{HTTPStatus("307")}}, {{HTTPStatus("308")}}. diff --git a/files/fr/web/http/headers/origin/index.md b/files/fr/web/http/headers/origin/index.md index 85498197f0..fecb90e2e2 100644 --- a/files/fr/web/http/headers/origin/index.md +++ b/files/fr/web/http/headers/origin/index.md @@ -5,73 +5,56 @@ tags: - Reference translation_of: Web/HTTP/Headers/Origin --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L’en-tête de requête <strong><code>Origin</code></strong> indique la provenance de la requête. Il n’inclut aucune information de chemin, seulement le nom du serveur. Il est envoyé avec les requêtes {{Glossary("CORS")}}, ainsi que les requêtes {{HTTPMethod("POST")}}. Il est similaire à l’en-tête {{HTTPHeader("Referer")}}, mais, contrairement à ce dernier, il n’inclut pas le chemin complet.</p> +L’en-tête de requête **`Origin`** indique la provenance de la requête. Il n’inclut aucune information de chemin, seulement le nom du serveur. Il est envoyé avec les requêtes {{Glossary("CORS")}}, ainsi que les requêtes {{HTTPMethod("POST")}}. Il est similaire à l’en-tête {{HTTPHeader("Referer")}}, mais, contrairement à ce dernier, il n’inclut pas le chemin complet. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d’en-tête</th> - <td>{{Glossary("Request header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>oui</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d’en-tête</th> + <td>{{Glossary("Request header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>oui</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Origin: "" -Origin: <scheme> "://" <hostname> [ ":" <port> ] -</pre> + Origin: "" + Origin: <scheme> "://" <hostname> [ ":" <port> ] -<p><code>Origin</code> peut être une chaîne vide : c’est utile, par exemple, si la source est une <code>data</code> URL.</p> +`Origin` peut être une chaîne vide : c’est utile, par exemple, si la source est une `data` URL. -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><scheme></dt> - <dd>Le protocole utilisé. Il s’agit en général du protocole HTTP ou de sa version sécurisée, HTTPS.</dd> - <dt><hostname></dt> - <dd>Le nom de domaine du serveur (for virtual hosting) ou l’IP.</dd> - <dt><port> {{optional_inline}}</dt> - <dd>Un numéro de port TCP sur lequel le serveur écoute. Si aucun port n’est donné, le port par défaut pour le service demandé (p. ex. <code>80</code> pour une URL HTTP) est supposé.</dd> -</dl> +- \<scheme> + - : Le protocole utilisé. Il s’agit en général du protocole HTTP ou de sa version sécurisée, HTTPS. +- \<hostname> + - : Le nom de domaine du serveur (for virtual hosting) ou l’IP. +- \<port> {{optional_inline}} + - : Un numéro de port TCP sur lequel le serveur écoute. Si aucun port n’est donné, le port par défaut pour le service demandé (p. ex. `80` pour une URL HTTP) est supposé. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Origin: https://developer.mozilla.org</pre> + Origin: https://developer.mozilla.org -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{RFC("6454", "Origin", "7")}}</td> - <td>Le concept de Web Origin</td> - </tr> - <tr> - <td>{{SpecName('Fetch','#origin-header','Origin header')}}</td> - <td>Remplace l’en-tête <code>Origin</code> tel que défini dans la RFC6454.</td> - </tr> - </tbody> -</table> +| Spécification | Commentaire | +| ------------------------------------------------------------------------ | ----------------------------------------------------------- | +| {{RFC("6454", "Origin", "7")}} | Le concept de Web Origin | +| {{SpecName('Fetch','#origin-header','Origin header')}} | Remplace l’en-tête `Origin` tel que défini dans la RFC6454. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Origin")}}</p> +{{Compat("http.headers.Origin")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Host")}}</li> - <li>{{HTTPHeader("Referer")}}</li> - <li>La <a href="/fr/docs/Web/Security/Same-origin_policy">Same-origin policy</a></li> -</ul> +- {{HTTPHeader("Host")}} +- {{HTTPHeader("Referer")}} +- La [Same-origin policy](/fr/docs/Web/Security/Same-origin_policy) diff --git a/files/fr/web/http/headers/referer/index.md b/files/fr/web/http/headers/referer/index.md index 17a4b3cbd9..7b4c2a12ee 100644 --- a/files/fr/web/http/headers/referer/index.md +++ b/files/fr/web/http/headers/referer/index.md @@ -9,76 +9,60 @@ tags: - referrer translation_of: Web/HTTP/Headers/Referer --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête de requête <code><strong>Referer</strong></code> contient l'adresse de la page web précédente à partir de laquelle un lien a été suivi pour demander la page courante. L'en-tête <code>Referer</code> permet aux serveurs d'identifier la provenance des visiteurs d'une page et cette information peut être utilisée à des fins d'analyse, de journalisation ou pour améliorer la politique de cache par exemple.</p> +L'en-tête de requête **`Referer`** contient l'adresse de la page web précédente à partir de laquelle un lien a été suivi pour demander la page courante. L'en-tête `Referer` permet aux serveurs d'identifier la provenance des visiteurs d'une page et cette information peut être utilisée à des fins d'analyse, de journalisation ou pour améliorer la politique de cache par exemple. -<div class="warning"> -<p><strong>Attention :</strong> Bien que cet en-tête puisse être utilisé à de nombreuses fins légitimes, il peut avoir des effets indésirables sur la sécurité et la vie privée. Voir la page <a href="fr/docs/Web/Security/Referer_header:_privacy_and_security_concerns">Questions de sécurité et de vie privée : quid de l'en-tête <code>referer</code></a> pour plus d'informations et des méthodes d'atténuation.</p> -</div> +> **Attention :** Bien que cet en-tête puisse être utilisé à de nombreuses fins légitimes, il peut avoir des effets indésirables sur la sécurité et la vie privée. Voir la page [Questions de sécurité et de vie privée : quid de l'en-tête `referer`](fr/docs/Web/Security/Referer_header:_privacy_and_security_concerns) pour plus d'informations et des méthodes d'atténuation. -<p>Note : le terme <code>referer</code> est orthographié ainsi bien qu'il s'agisse d'une erreur à partir du mot anglais "<em>referrer</em>". Voir {{interwiki("wikipedia", "HTTP_referer", "L'en-tête <code>referer</code> HTTP sur Wikipédia")}} pour plus de détails.</p> +Note : le terme `referer` est orthographié ainsi bien qu'il s'agisse d'une erreur à partir du mot anglais "_referrer_". Voir {{interwiki("wikipedia", "HTTP_referer", "L'en-tête <code>referer</code> HTTP sur Wikipédia")}} pour plus de détails. -<p>Un en-tête <code>Referer</code> n'est pas envoyé par les navigateurs si :</p> +Un en-tête `Referer` n'est pas envoyé par les navigateurs si : -<ul> - <li>La ressource d'origine est un fichier local ou une URI de données.</li> - <li>Une requête non sécurisée HTTP est utilisée alors que la page référente avait été reçue via un protocole sécurisé (HTTPS).</li> -</ul> +- La ressource d'origine est un fichier local ou une URI de données. +- Une requête non sécurisée HTTP est utilisée alors que la page référente avait été reçue via un protocole sécurisé (HTTPS). <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("En-tête de requête")}}</td> - </tr> - <tr> - <th scope="row"><a href="/fr/docs/Glossaire/Forbidden_header_name">Nom d'en-tête interdit</a></th> - <td>Oui</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("En-tête de requête")}}</td> + </tr> + <tr> + <th scope="row"> + <a href="/fr/docs/Glossaire/Forbidden_header_name" + >Nom d'en-tête interdit</a + > + </th> + <td>Oui</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Referer: <url> -</pre> + Referer: <url> -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><code><url></code></dt> - <dd>Une adresse absolue ou partielle de la page web à partir de laquelle la requête vers la page courante a été émise. Les fragements d'URL (i.e. "#section") et les informations d'utilisateurs (i.e. "username:password" dans "https://username:password@example.com/toto/truc/") ne sont pas incluses.</dd> -</dl> +- `<url>` + - : Une adresse absolue ou partielle de la page web à partir de laquelle la requête vers la page courante a été émise. Les fragements d'URL (i.e. "#section") et les informations d'utilisateurs (i.e. "username:password" dans "https\://username:password\@example.com/toto/truc/") ne sont pas incluses. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Referer: https://developer.mozilla.org/fr/docs/Web/JavaScript</pre> + Referer: https://developer.mozilla.org/fr/docs/Web/JavaScript -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{RFC("7231", "Referer", "5.5.2")}}</td> - <td><em>Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content</em> (Protocole de transfert hypertext (HTTP/1.1): Sémantique et contenu).</td> - </tr> - </tbody> -</table> +| Spécification | Titre | +| ------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------- | +| {{RFC("7231", "Referer", "5.5.2")}} | _Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content_ (Protocole de transfert hypertext (HTTP/1.1): Sémantique et contenu). | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Referer")}}</p> +{{Compat("http.headers.Referer")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{interwiki("wikipedia", "HTTP_referer", "L'en-tête HTTP <code>referer</code> sur Wikipédia")}}</li> - <li>{{HTTPHeader("Referrer-Policy")}}</li> -</ul> +- {{interwiki("wikipedia", "HTTP_referer", "L'en-tête HTTP <code>referer</code> sur Wikipédia")}} +- {{HTTPHeader("Referrer-Policy")}} diff --git a/files/fr/web/http/headers/referrer-policy/index.md b/files/fr/web/http/headers/referrer-policy/index.md index 0020ea23fb..3f58c26997 100644 --- a/files/fr/web/http/headers/referrer-policy/index.md +++ b/files/fr/web/http/headers/referrer-policy/index.md @@ -14,254 +14,228 @@ tags: - referrer translation_of: Web/HTTP/Headers/Referrer-Policy --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête {{glossary("HTTP header")}} <strong><code>Referrer-Policy</code></strong> contrôle la quantité d'<a href="/en-US/docs/Web/Security/Referer_header:_privacy_and_security_concerns">informations sur le référent (referrer)</a> (envoyées par l'en-tête {{HTTPHeader("Referer")}}) incluses dans la requête.</p> +L'en-tête {{glossary("HTTP header")}} **`Referrer-Policy`** contrôle la quantité d'[informations sur le référent (referrer)](/en-US/docs/Web/Security/Referer_header:_privacy_and_security_concerns) (envoyées par l'en-tête {{HTTPHeader("Referer")}}) incluses dans la requête. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> - -<div class="note"> -<p><strong>Note :</strong> Le nom originel de l'en-tête, {{HTTPHeader("Referer")}}, est une faute de frappe du mot anglais "referrer". L'en-tête <code>Referrer-Policy</code> ne comporte pas cette erreur.</p> -</div> - -<pre class="syntaxbox">Referrer-Policy: no-referrer -Referrer-Policy: no-referrer-when-downgrade -Referrer-Policy: origin -Referrer-Policy: origin-when-cross-origin -Referrer-Policy: same-origin -Referrer-Policy: strict-origin -Referrer-Policy: strict-origin-when-cross-origin -Referrer-Policy: unsafe-url -</pre> - -<h2 id="Directives">Directives</h2> - -<dl> - <dt><code>no-referrer</code></dt> - <dd>L'en-tête {{HTTPHeader("Referer")}} sera entièrement omis. Aucune information sur le référent ne sera envoyée avec les requêtes.</dd> - <dt><code>no-referrer-when-downgrade</code> (default)</dt> - <dd>C'est le comportement par défaut si aucune valeur n'est spécifiée ou quelle celle donnée est invalide. L'{{glossary("origin")}}, le {{glossary("path")}}, et la {{glossary("querystring")}} de l'URL sont envoyés comme référent quand le niveau de sécurité du protocole reste le même (HTTP vers HTTP, HTTPS vers HTTPS) ou s'améliore (HTTP vers HTTPS) mais ne sont pas envoyés quand si la destination est moins sécurisée (HTTPS vers HTTP). - <div class="note"> - <p><strong>Note :</strong> Les navigateurs tentent d'adopter une valeur par défaut plus stricte, précisément <code>strict-origin-when-cross-origin</code> (voir <a href="https://github.com/whatwg/fetch/pull/952">https://github.com/whatwg/fetch/pull/952</a>), envisagez d'utiliser cette valeur (ou une autre encore plus stricte) si possible si vous définissez la valeur de Referrer-Policy.</p> - </div> - </dd> - <dt><code>origin</code></dt> - <dd>N'envoie que l'{{glossary("origin")}} du document comme référent.<br> - Par exemple, un document à l'adresse <code>https://example.com/page.html</code> enverra le référent <code>https://example.com/</code>.</dd> - <dt><code>origin-when-cross-origin</code></dt> - <dd>Envoie l'origine, le chemin et les paramètres de requête pour les requêtes {{glossary("Same-origin_policy", "same-origin")}} et seulement l'origine du document dans les autres cas.</dd> - <dt><code>same-origin</code></dt> - <dd>Un référent sera envoyé aux <a href="/en-US/docs/Web/Security/Same-origin_policy">page de même origine</a>, mais des requêtes vers des adresses externes n'enverront aucune information sur le référent.</dd> - <dt><code>strict-origin</code></dt> - <dd>N'envoie que l'origine du document comme référent quand le niveau de sécurité du protocole reste le même (HTTPS vers HTTPS) mais n'envoie rien si la destination est moins sécurisée (HTTPS vers HTTP).</dd> - <dt><code>strict-origin-when-cross-origin</code></dt> - <dd>Envoie l'origine, le chemin et les paramètres de requête pour les requêtes de même origine, n'envoie que l'origine quand le niveau de sécurité du protocole reste le même pour les requêtes vers des adresses externes (HTTPS vers HTTPS) et n'envoie rien si la destination est moins sécurisée (HTTPS vers HTTP).</dd> - <dt><code>unsafe-url</code></dt> - <dd>Envoie l'origine, le chemin et les paramètres de requête pour toutes les requêtes sans tenir compte du niveau de sécurité. - <div class="warning"> - <p><strong>Attention :</strong> Cette valeur divulgera des informations potentiellement confidentielles de la part des URL de ressources HTTPS vers des origines non sécurisées. Considérez les conséquences de ce paramétrage avant de vous en servir.</p> - </div> - </dd> -</dl> - -<h2 id="Intégration_avec_HTML">Intégration avec HTML</h2> - -<p>Vous pouvez aussi définir des règles de référent au sein d'HTML. Par exemple, vous pouvez définir la règle de référent pour le document entier avec un élément {{HTMLElement("meta")}} dont le <a href="/en-US/docs/Web/HTML/Element/meta#attr-name">name</a> est <code>referrer</code> :</p> - -<pre class="brush: html"><meta name="referrer" content="origin"></pre> - -<p>Ou le définit pour des requêtes spécifiques avec l'attribut <code>referrerpolicy</code> sur les éléments {{HTMLElement("a")}}, {{HTMLElement("area")}}, {{HTMLElement("img")}}, {{HTMLElement("iframe")}}, {{HTMLElement("script")}}, ou {{HTMLElement("link")}} :</p> - -<pre class="brush: html"><a href="http://example.com" referrerpolicy="origin"></pre> - -<p>Autrement, une <a href="/en-US/docs/Web/HTML/Link_types">relation de lien</a> définie à <code>noreferrer</code> sur un élément <code>a</code>, <code>area</code>, ou <code>link</code> peut être défini :</p> - -<pre class="brush: html"><a href="http://example.com" rel="noreferrer"></pre> - -<div class="warning"> -<p><strong>Attention :</strong> Comme vu précédemment, la relation de lien <code>noreferrer</code> s'écrit sans trait d'union. Toutefois, quand la règle de référent est spécifiée pour le document entier avec un élément {{HTMLElement("meta")}}, il faut mettre le trait d'union : <code><meta name="referrer" content="no-referrer"></code>.</p> -</div> - -<h2 id="Intégration_avec_CSS">Intégration avec CSS</h2> - -<p>CSS peut demander des ressources référencées dans des feuilles de styles. Ces ressources suivent une règle de référent aussi :</p> - -<ul> - <li>Les feuilles de styles CSS externes utilisant la règle par défaut (<code>no-referrer-when-downgrade</code>), moins qu'elle soit remplacée un l'en-tête HTTP <code>Referrer-Policy</code> dans la réponse de la feuille de styles CSS.</li> - <li>Pour les éléments {{HTMLElement("style")}} ou <a href="/en-US/docs/Web/API/HTMLElement/style">attributs <code>style</code></a>, la règle de référent du propriétaire du document est utilisée.</li> -</ul> - -<h2 id="Exemples">Exemples</h2> +## Syntaxe -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Règle</th> - <th scope="col">Document</th> - <th scope="col">Navigation vers</th> - <th scope="col">Référent</th> - </tr> - </thead> - <tbody> - <tr> - <th><code>no-referrer</code></th> - <td>https://example.com/page</td> - <td><em>n'importe où</em></td> - <td><em>(pas de référent)</em></td> - </tr> - <tr> - <th rowspan="3"><code>no-referrer-when-downgrade</code></th> - <td rowspan="3">https://example.com/page</td> - <td>https://example.com/otherpage</td> - <td>https://example.com/page</td> - </tr> - <tr> - <td>https://mozilla.org</td> - <td>https://example.com/page</td> - </tr> - <tr> - <td><strong>http</strong>://example.org</td> - <td><em>(pas de référent)</em></td> - </tr> - <tr> - <th><code>origin</code></th> - <td>https://example.com/page</td> - <td><em>n'importe où</em></td> - <td>https://example.com/</td> - </tr> - <tr> - <th rowspan="3"><code>origin-when-cross-origin</code></th> - <td rowspan="3">https://example.com/page</td> - <td>https://example.com/otherpage</td> - <td>https://example.com/page</td> - </tr> - <tr> - <td>https://mozilla.org</td> - <td>https://example.com/</td> - </tr> - <tr> - <td><strong>http</strong>://example.com/page</td> - <td>https://example.com/</td> - </tr> - <tr> - <th rowspan="2"><code>same-origin</code></th> - <td rowspan="2">https://example.com/page</td> - <td>https://example.com/otherpage</td> - <td>https://example.com/page</td> - </tr> - <tr> - <td>https://mozilla.org</td> - <td><em>(pas de référent)</em></td> - </tr> - <tr> - <th rowspan="3"><code>strict-origin</code></th> - <td rowspan="2">https://example.com/page</td> - <td>https://mozilla.org</td> - <td>https://example.com/</td> - </tr> - <tr> - <td><strong>http</strong>://example.org</td> - <td><em>(pas de référent)</em></td> - </tr> - <tr> - <td><strong>http</strong>://example.com/page</td> - <td><em>n'importe où</em></td> - <td>http://example.com/</td> - </tr> - <tr> - <th rowspan="3"><code>strict-origin-when-cross-origin</code></th> - <td rowspan="3">https://example.com/page</td> - <td>https://example.com/otherpage</td> - <td>https://example.com/page</td> - </tr> - <tr> - <td>https://mozilla.org</td> - <td>https://example.com/</td> - </tr> - <tr> - <td><strong>http</strong>://example.org</td> - <td><em>(pas de référent)</em></td> - </tr> - <tr> - <th><code>unsafe-url</code></th> - <td>https://example.com/page?q=123</td> - <td><em>n'importe où</em></td> - <td>https://example.com/page?q=123</td> - </tr> - </tbody> -</table> +> **Note :** Le nom originel de l'en-tête, {{HTTPHeader("Referer")}}, est une faute de frappe du mot anglais "referrer". L'en-tête `Referrer-Policy` ne comporte pas cette erreur. + + Referrer-Policy: no-referrer + Referrer-Policy: no-referrer-when-downgrade + Referrer-Policy: origin + Referrer-Policy: origin-when-cross-origin + Referrer-Policy: same-origin + Referrer-Policy: strict-origin + Referrer-Policy: strict-origin-when-cross-origin + Referrer-Policy: unsafe-url + +## Directives + +- `no-referrer` + - : L'en-tête {{HTTPHeader("Referer")}} sera entièrement omis. Aucune information sur le référent ne sera envoyée avec les requêtes. +- `no-referrer-when-downgrade` (default) + + - : C'est le comportement par défaut si aucune valeur n'est spécifiée ou quelle celle donnée est invalide. L'{{glossary("origin")}}, le {{glossary("path")}}, et la {{glossary("querystring")}} de l'URL sont envoyés comme référent quand le niveau de sécurité du protocole reste le même (HTTP vers HTTP, HTTPS vers HTTPS) ou s'améliore (HTTP vers HTTPS) mais ne sont pas envoyés quand si la destination est moins sécurisée (HTTPS vers HTTP). + + > **Note :** Les navigateurs tentent d'adopter une valeur par défaut plus stricte, précisément `strict-origin-when-cross-origin` (voir <https://github.com/whatwg/fetch/pull/952>), envisagez d'utiliser cette valeur (ou une autre encore plus stricte) si possible si vous définissez la valeur de Referrer-Policy. + +- `origin` + - : N'envoie que l'{{glossary("origin")}} du document comme référent. + Par exemple, un document à l'adresse `https://example.com/page.html` enverra le référent `https://example.com/`. +- `origin-when-cross-origin` + - : Envoie l'origine, le chemin et les paramètres de requête pour les requêtes {{glossary("Same-origin_policy", "same-origin")}} et seulement l'origine du document dans les autres cas. +- `same-origin` + - : Un référent sera envoyé aux [page de même origine](/en-US/docs/Web/Security/Same-origin_policy), mais des requêtes vers des adresses externes n'enverront aucune information sur le référent. +- `strict-origin` + - : N'envoie que l'origine du document comme référent quand le niveau de sécurité du protocole reste le même (HTTPS vers HTTPS) mais n'envoie rien si la destination est moins sécurisée (HTTPS vers HTTP). +- `strict-origin-when-cross-origin` + - : Envoie l'origine, le chemin et les paramètres de requête pour les requêtes de même origine, n'envoie que l'origine quand le niveau de sécurité du protocole reste le même pour les requêtes vers des adresses externes (HTTPS vers HTTPS) et n'envoie rien si la destination est moins sécurisée (HTTPS vers HTTP). +- `unsafe-url` + + - : Envoie l'origine, le chemin et les paramètres de requête pour toutes les requêtes sans tenir compte du niveau de sécurité. + + > **Attention :** Cette valeur divulgera des informations potentiellement confidentielles de la part des URL de ressources HTTPS vers des origines non sécurisées. Considérez les conséquences de ce paramétrage avant de vous en servir. + +## Intégration avec HTML + +Vous pouvez aussi définir des règles de référent au sein d'HTML. Par exemple, vous pouvez définir la règle de référent pour le document entier avec un élément {{HTMLElement("meta")}} dont le [name](/en-US/docs/Web/HTML/Element/meta#attr-name) est `referrer` : + +```html +<meta name="referrer" content="origin"> +``` + +Ou le définit pour des requêtes spécifiques avec l'attribut `referrerpolicy` sur les éléments {{HTMLElement("a")}}, {{HTMLElement("area")}}, {{HTMLElement("img")}}, {{HTMLElement("iframe")}}, {{HTMLElement("script")}}, ou {{HTMLElement("link")}} : -<h3 id="Spécifier_une_règle_par_défaut">Spécifier une règle par défaut</h3> +```html +<a href="http://example.com" referrerpolicy="origin"> +``` -<p>Si vous voulez spécifier une règle à appliquer par défaut dans les où la règle voulue n'est pas supportée par les navigateurs, utilisez un liste de valeurs séparées par des virgules avec la règle voulue fournie en dernière position :</p> +Autrement, une [relation de lien](/en-US/docs/Web/HTML/Link_types) définie à `noreferrer` sur un élément `a`, `area`, ou `link` peut être défini : -<pre>Referrer-Policy: no-referrer, strict-origin-when-cross-origin</pre> +```html +<a href="http://example.com" rel="noreferrer"> +``` -<p>Ici, <code>no-referrer</code> ne sera utilisée que si <code>strict-origin-when-cross-origin</code> n'est pas supportée par le navigateur.</p> +> **Attention :** Comme vu précédemment, la relation de lien `noreferrer` s'écrit sans trait d'union. Toutefois, quand la règle de référent est spécifiée pour le document entier avec un élément {{HTMLElement("meta")}}, il faut mettre le trait d'union : `<meta name="referrer" content="no-referrer">`. -<div class="notecard note"> - <p><strong>Note :</strong> Spécifier plusieurs valeurs n'est supporté que dans l'en-tête HTTP <code>Referrer-Policy</code> et non dans l'attribut <code>referrerpolicy</code>.</p> -</div> +## Intégration avec CSS -<h2 id="Spécifications">Spécifications</h2> +CSS peut demander des ressources référencées dans des feuilles de styles. Ces ressources suivent une règle de référent aussi : + +- Les feuilles de styles CSS externes utilisant la règle par défaut (`no-referrer-when-downgrade`), moins qu'elle soit remplacée un l'en-tête HTTP `Referrer-Policy` dans la réponse de la feuille de styles CSS. +- Pour les éléments {{HTMLElement("style")}} ou [attributs `style`](/en-US/docs/Web/API/HTMLElement/style), la règle de référent du propriétaire du document est utilisée. + +## Exemples <table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - </tr> - </thead> - <tbody> - <tr> - <td><a href="https://w3c.github.io/webappsec-referrer-policy/#referrer-policy-header">Referrer Policy </a></td> - <td>Brouillon de l'éditeur.</td> - </tr> - </tbody> + <thead> + <tr> + <th scope="col">Règle</th> + <th scope="col">Document</th> + <th scope="col">Navigation vers</th> + <th scope="col">Référent</th> + </tr> + </thead> + <tbody> + <tr> + <th><code>no-referrer</code></th> + <td>https://example.com/page</td> + <td><em>n'importe où</em></td> + <td><em>(pas de référent)</em></td> + </tr> + <tr> + <th rowspan="3"><code>no-referrer-when-downgrade</code></th> + <td rowspan="3">https://example.com/page</td> + <td>https://example.com/otherpage</td> + <td>https://example.com/page</td> + </tr> + <tr> + <td>https://mozilla.org</td> + <td>https://example.com/page</td> + </tr> + <tr> + <td><strong>http</strong>://example.org</td> + <td><em>(pas de référent)</em></td> + </tr> + <tr> + <th><code>origin</code></th> + <td>https://example.com/page</td> + <td><em>n'importe où</em></td> + <td>https://example.com/</td> + </tr> + <tr> + <th rowspan="3"><code>origin-when-cross-origin</code></th> + <td rowspan="3">https://example.com/page</td> + <td>https://example.com/otherpage</td> + <td>https://example.com/page</td> + </tr> + <tr> + <td>https://mozilla.org</td> + <td>https://example.com/</td> + </tr> + <tr> + <td><strong>http</strong>://example.com/page</td> + <td>https://example.com/</td> + </tr> + <tr> + <th rowspan="2"><code>same-origin</code></th> + <td rowspan="2">https://example.com/page</td> + <td>https://example.com/otherpage</td> + <td>https://example.com/page</td> + </tr> + <tr> + <td>https://mozilla.org</td> + <td><em>(pas de référent)</em></td> + </tr> + <tr> + <th rowspan="3"><code>strict-origin</code></th> + <td rowspan="2">https://example.com/page</td> + <td>https://mozilla.org</td> + <td>https://example.com/</td> + </tr> + <tr> + <td><strong>http</strong>://example.org</td> + <td><em>(pas de référent)</em></td> + </tr> + <tr> + <td><strong>http</strong>://example.com/page</td> + <td><em>n'importe où</em></td> + <td>http://example.com/</td> + </tr> + <tr> + <th rowspan="3"><code>strict-origin-when-cross-origin</code></th> + <td rowspan="3">https://example.com/page</td> + <td>https://example.com/otherpage</td> + <td>https://example.com/page</td> + </tr> + <tr> + <td>https://mozilla.org</td> + <td>https://example.com/</td> + </tr> + <tr> + <td><strong>http</strong>://example.org</td> + <td><em>(pas de référent)</em></td> + </tr> + <tr> + <th><code>unsafe-url</code></th> + <td>https://example.com/page?q=123</td> + <td><em>n'importe où</em></td> + <td>https://example.com/page?q=123</td> + </tr> + </tbody> </table> -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> - -<p>{{Compat("http.headers.Referrer-Policy")}}</p> - -<div class="note"> - <p><strong>Note :</strong></p> -<ul> - <li>Version 53 et plus, Gecko offre la possibilité aux utilisateurs de définir leur valeur par défaut de <code>Referrer-Policy</code> dans <code>about:config</code>, l'option s'appelant <code>network.http.referer.userControlPolicy</code>.</li> - <li>Version 59 et plus (Voir <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=587523">#587523</a>), il a été remplacé par <code>network.http.referer.defaultPolicy</code> et <code>network.http.referer.defaultPolicy.pbmode</code>.</li> -</ul> - -<p>Les valeurs permises sont :</p> - -<ul> - <li>0 — <code>no-referrer</code></li> - <li>1 — <code>same-origin</code></li> - <li>2 — <code>strict-origin-when-cross-origin</code></li> - <li>3 — <code>no-referrer-when-downgrade</code> (par défaut)</li> -</ul> -</div> - -<h2 id="Voir_aussi">Voir aussi</h2> - -<ul> - <li>{{interwiki("wikipedia", "HTTP_referer", "HTTP referer on Wikipedia")}}</li> - <li>En utilisant <a href="/en-US/docs/Web/API/Fetch_API">Fetch</a> : {{domxref("Request.referrerPolicy")}}</li> - <li>La directive obsolète {{HTTPHeader("Content-Security-Policy/referrer", "referrer")}} {{Obsolete_Inline}} de l'en-tête {{HTTPHeader("Content-Security-Policy")}}.</li> - <li><a href="/en-US/docs/Web/Security/Same-origin_policy">Same-origin policy</a></li> - <li> - <p><a href="https://blog.mozilla.org/security/2015/01/21/meta-referrer/">Tighter Control Over Your Referrers – Mozilla Security Blog</a></p> - </li> -</ul> +### Spécifier une règle par défaut + +Si vous voulez spécifier une règle à appliquer par défaut dans les où la règle voulue n'est pas supportée par les navigateurs, utilisez un liste de valeurs séparées par des virgules avec la règle voulue fournie en dernière position : + + Referrer-Policy: no-referrer, strict-origin-when-cross-origin + +Ici, `no-referrer` ne sera utilisée que si `strict-origin-when-cross-origin` n'est pas supportée par le navigateur. + +> **Note :** Spécifier plusieurs valeurs n'est supporté que dans l'en-tête HTTP `Referrer-Policy` et non dans l'attribut `referrerpolicy`. + +## Spécifications + +| Spécification | Statut | +| ------------------------------------------------------------------------------------------ | ----------------------- | +| [Referrer Policy](https://w3c.github.io/webappsec-referrer-policy/#referrer-policy-header) | Brouillon de l'éditeur. | + +## Compatibilité des navigateurs + +{{Compat("http.headers.Referrer-Policy")}} + +> **Note :** +> +> - Version 53 et plus, Gecko offre la possibilité aux utilisateurs de définir leur valeur par défaut de `Referrer-Policy` dans `about:config`, l'option s'appelant `network.http.referer.userControlPolicy`. +> - Version 59 et plus (Voir [#587523](https://bugzilla.mozilla.org/show_bug.cgi?id=587523)), il a été remplacé par `network.http.referer.defaultPolicy` et `network.http.referer.defaultPolicy.pbmode`. +> +> Les valeurs permises sont : +> +> - 0 — `no-referrer` +> - 1 — `same-origin` +> - 2 — `strict-origin-when-cross-origin` +> - 3 — `no-referrer-when-downgrade` (par défaut) + +## Voir aussi + +- {{interwiki("wikipedia", "HTTP_referer", "HTTP referer on Wikipedia")}} +- En utilisant [Fetch](/en-US/docs/Web/API/Fetch_API) : {{domxref("Request.referrerPolicy")}} +- La directive obsolète {{HTTPHeader("Content-Security-Policy/referrer", "referrer")}} {{Obsolete_Inline}} de l'en-tête {{HTTPHeader("Content-Security-Policy")}}. +- [Same-origin policy](/en-US/docs/Web/Security/Same-origin_policy) +- [Tighter Control Over Your Referrers – Mozilla Security Blog](https://blog.mozilla.org/security/2015/01/21/meta-referrer/) diff --git a/files/fr/web/http/headers/server/index.md b/files/fr/web/http/headers/server/index.md index 5aa0a27da7..5ca0b1f538 100644 --- a/files/fr/web/http/headers/server/index.md +++ b/files/fr/web/http/headers/server/index.md @@ -8,64 +8,48 @@ tags: translation_of: Web/HTTP/Headers/Server original_slug: Web/HTTP/Headers/Serveur --- -<div>{{ HTTPSidebar }}</div> +{{ HTTPSidebar }} -<div> </div> +Le paramètre d'entête **`Server`** contient des informations à propos du système (ou sous-système) en place sur le serveur qui s'occupe de la requête. -<p>Le paramètre d'entête <code><strong>Server</strong></code> contient des informations à propos du système (ou sous-système) en place sur le serveur qui s'occupe de la requête.</p> - -<p>Il est préférable d'éviter les valeurs excessivement longues et/ou détaillées : elles peuvent révéler des détails internes qui pourraient rendre (un peu) plus facile une attaque et l'exploitation d'une éventuelle faille de sécurité.</p> +Il est préférable d'éviter les valeurs excessivement longues et/ou détaillées : elles peuvent révéler des détails internes qui pourraient rendre (un peu) plus facile une attaque et l'exploitation d'une éventuelle faille de sécurité. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'entête</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'entête</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Server: <valeur> -</pre> + Server: <valeur> -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><valeur></dt> - <dd>Le nom du système (ou sous-système) qui gère les requêtes.</dd> -</dl> +- \<valeur> + - : Le nom du système (ou sous-système) qui gère les requêtes. -<h2 id="Exemples">Exemples</h2> +## Exemples -<pre>Server: Apache/2.4.1 (Unix)</pre> + Server: Apache/2.4.1 (Unix) -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Specification</th> - <th scope="col">Title</th> - </tr> - <tr> - <td>{{RFC("7231", "Server", "7.4.2")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content</td> - </tr> - </tbody> -</table> +| Specification | Title | +| -------------------------------------------- | ------------------------------------------------------------- | +| {{RFC("7231", "Server", "7.4.2")}} | Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content | -<h2 id="Navigateurs_compatibles">Navigateurs compatibles</h2> +## Navigateurs compatibles -<p>{{Compat("http.headers.Server")}}</p> +{{Compat("http.headers.Server")}} -<h2 id="Voir_également">Voir également</h2> +## Voir également -<ul> - <li>{{HTTPHeader("Allow")}}</li> -</ul> +- {{HTTPHeader("Allow")}} diff --git a/files/fr/web/http/headers/set-cookie/index.md b/files/fr/web/http/headers/set-cookie/index.md index 5208808eb7..df60ff6351 100644 --- a/files/fr/web/http/headers/set-cookie/index.md +++ b/files/fr/web/http/headers/set-cookie/index.md @@ -10,204 +10,187 @@ tags: - samesite translation_of: Web/HTTP/Headers/Set-Cookie --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête de réponse HTTP <strong><code>Set-Cookie</code></strong> est utilisé pour envoyer un cookie depuis le serveur à l'agent utilisateur afin qu'il puisse le renvoyer dans l'avenir.</span> Pour envoyer plusieurs cookies, on enverra plusieurs en-têtes <code>Set-Cookie</code> dans la même réponse.</p> +L'en-tête de réponse HTTP **`Set-Cookie`** est utilisé pour envoyer un cookie depuis le serveur à l'agent utilisateur afin qu'il puisse le renvoyer dans l'avenir. Pour envoyer plusieurs cookies, on enverra plusieurs en-têtes `Set-Cookie` dans la même réponse. -<div class="warning"> - <p><strong>Attention :</strong> Les navigateurs empêchent le code JavaScript <i>front-end</i> d'accéder à l'en-tête <code>Set-Cookie</code>, comme l'exige la spécification Fetch, qui définit <code>Set-Cookie</code> comme un <a href="https://fetch.spec.whatwg.org/#forbidden-response-header-name">nom d'en-tête de réponse interdit</a> qui <a href="https://fetch.spec.whatwg.org/#ref-for-forbidden-response-header-name%E2%91%A0">doit être filtré</a> de toute réponse exposée au code <i>front-end</i>.</p> -</div> +> **Attention :** Les navigateurs empêchent le code JavaScript _front-end_ d'accéder à l'en-tête `Set-Cookie`, comme l'exige la spécification Fetch, qui définit `Set-Cookie` comme un [nom d'en-tête de réponse interdit](https://fetch.spec.whatwg.org/#forbidden-response-header-name) qui [doit être filtré](https://fetch.spec.whatwg.org/#ref-for-forbidden-response-header-name%E2%91%A0) de toute réponse exposée au code _front-end_. -<p>Pour plus d'information, voir le <a href="/fr/docs/Web/HTTP/Cookies">guide sur les cookies HTTP</a>.</p> +Pour plus d'information, voir le [guide sur les cookies HTTP](/fr/docs/Web/HTTP/Cookies). <table class="properties"> <tbody> <tr> <th scope="row">Type d'en-tête</th> - <td><a href="/fr/docs/Glossary/Response_header">En-tête de réponse</a></td> + <td> + <a href="/fr/docs/Glossary/Response_header">En-tête de réponse</a> + </td> </tr> <tr> - <th scope="row"><a href="/fr/docs/Glossary/Forbidden_header_name">Nom d'en-tête interdit</a></th> + <th scope="row"> + <a href="/fr/docs/Glossary/Forbidden_header_name" + >Nom d'en-tête interdit</a + > + </th> <td>Non</td> </tr> <tr> - <th scope="row"><a href="https://fetch.spec.whatwg.org/#forbidden-response-header-name">Nom d'en-tête de réponse interdit</a></th> + <th scope="row"> + <a href="https://fetch.spec.whatwg.org/#forbidden-response-header-name" + >Nom d'en-tête de réponse interdit</a + > + </th> <td>Oui</td> </tr> </tbody> </table> -<h2 id="syntax">Syntaxe</h2> - -<pre class="syntaxbox">Set-Cookie: <cookie-name>=<cookie-value> -Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date> -Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<non-zero-digit> -Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value> -Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value> -Set-Cookie: <cookie-name>=<cookie-value>; Secure -Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly - -Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Strict -Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Lax -Set-Cookie: <cookie-name>=<cookie-value>; SameSite=None - -// L'usage d'attributs multiples est également possible, par exemple : -Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly</pre> - -<h2 id="attributes">Attributs</h2> - -<dl> - <dt><code><cookie-name>=<cookie-value></code></dt> - <dd><p>Un cookie commence par une paire nom-valeur:</p> - <ul> - <li>Le nom porté par <code><cookie-name></code> peut-être composé de n'importe quels caractères ASCII, à l'exception des caractères de contrôle, d'espace, de tabulation et des caractères de séparation suivants : <code>( ) < > @ , ; : \ " / [ ] ? = { }</code>.</li> - <li>La valeur, <code><cookie-value></code>, peut éventuellement être entourée de guillemets doubles et peut être composée de n'importe quel caractère ASCII à l'exception des caractères de contrôle, des blancs, des guillemets doubles, d'une virgule, d'un point-virgule ou d'une barre oblique inversée (<i>backslash</i>). <strong>Encodage</strong> : de nombreuses implémentations encodent les caractères d'URL (<i>URL-encoding</i>) bien que ce ne soit pas nécessaire selon la RFC. Une telle transformation facilite tout de même l'utilisation de caractères autorisés.</li> - <li>Le préfixe <strong><code>__Secure-</code></strong> : les cookies commençant par <code>__Secure-</code> (le tiret fait partie du préfixe) doivent être définis avec le drapeau <code>secure</code> depuis une page sécurisée (HTTPS).</li> - <li>Le préfixe <strong><code>__Host-</code></strong> : Les cookies commençant par <code>__Host-</code> doivent être définis avec le drapeau <code>secure</code>, depuis une page sécurisée (HTTPS), ne doivent pas avoir de domaine spécifié (et donc pas envoyé à un sous-domaine) et le chemin doit être <code>/</code>.</li> - </ul> - </dd> - <dt><code>Expires=<date></code> {{optional_inline}}</dt> - <dd> - <p>Le temps de vie maximal d'un cookie sous la forme d'une date HTTP. Voir <a href="/fr/docs/Web/HTTP/Headers/Date"><code>Date</code></a> pour le format requis.</p> - - <p>Si non spécifié, le cookie devient un <strong>cookie de session</strong>. Une session finit quand le client s'arrête, les cookies de sessions sont alors supprimés à ce moment.</p> - - <div class="warning"> - <p><strong>Attention :</strong> Plusieurs navigateurs ont un système de récupération de session qui enregistre les onglets et les restaure quand le navigateur redémarre. Les cookies de session seront aussi restaurés comme si le navigateur ne s'était jamais arrêté.</p> - </div> - - <p>Quand une telle date de péremption est indiquée, elle est relative au <em>client</em> et pas au serveur.</p> - </dd> - <dt><code>Max-Age=<number> </code>{{optional_inline}}</dt> - <dd>Le nombre de secondes avant son expiration. Une valeur nulle ou négative fera expirer immédiatement le cookie. Si <code>Expires</code> et <code>Max-Age</code> sont configurés, <code>Max-Age</code> sera prioritaire.</dd> - <dt><code>Domain=<domain-value></code> {{optional_inline}}</dt> - <dd><p>Le domaine où le cookie sera envoyé.</p> - <ul> - <li>Si omis, la valeur par défaut sera l'hôte de l'URL du document courant. Les sous-domaines ne seront pas inclus.</li> - <li>Contrairement aux anciennes spécifications, le point au début dans les noms de domaines (<code>.example.com</code>) est ignoré.</li> - <li>Plusieurs valeurs de domaine ne sont pas permises. Si un nom de domaine est spécifié, les sous domaines sont toujours inclus.</li> - </ul> - </dd> - <dt><code>Path=<path-value></code> {{optional_inline}}</dt> - <dd>Un chemin qui doit exister dans l'URL de la requête ou le navigateur n'enverra pas d'en-tête <code>Cookie</code> correspondante par la suite. La barre oblique (<code>/</code>) est interprétée comme un séparateur de répertoire. Les sous-répertoires sont inclus, par exemple: pour <code>Path=/docs</code> les répertoires <code>/docs</code>, <code>/docs/Web/</code> et <code>/docs/Web/HTTP</code> sont concernés.</dd> - <dt><code>Secure</code> {{optional_inline}}</dt> - <dd><p>Un cookie sécurisé est envoyé uniquement si la requête est faite en <code>https:</code> (sauf pour <i>localhost</i>). Cependant des informations confidentielles ne devraient jamais être enregistrées dans un cookie classique, en effet le mécanique est non sécurisé et ne chiffre aucune information.</p> - <div class="notecard note"> - <p><strong>Note :</strong> Les sites non sécurisés (<code>http:</code>) ne peuvent plus définir des cookies <code></code>Secure</code> désormais (depuis Chrome 52+ et Firefox 52+). Depuis Firefox 75, cette restriction ne s'applique pas pour <i>localhost</i>.</p> - </div> - </dd> - <dt><code>HttpOnly</code> {{optional_inline}}</dt> - <dd>Empêche JavaScript d'accéder au cookie; par exemple, au travers de la propriété <a href="/fr/docs/Web/API/Document/cookie"><code>Document.cookie</code></a>, de l'API <a href="/fr/docs/Web/API/XMLHttpRequest"><code>XMLHttpRequest</code></a> ou de l'API <a href="/fr/docs/Web/API/Request"><code>Request</code></a>. Cela protège des attaques <em>cross-site scripting</em> (<a href="/fr/docs/Glossary/XSS">XSS</a>).</dd> - <dt><code>SameSite=<samesite-value></code> {{optional_inline}}</dt> - <dd><p>Contrôle si un cookie est envoyé avec les requêtes d'origine croisée, offrant ainsi une certaine protection contre les attaques de falsification de requêtes inter-sites (<a href="/fr/docs/Glossary/CSRF">CSRF</a>).</p> - <div class="notecard note"> - <p><strong>Note :</strong> Les normes relatives aux <a href="/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite">Cookies SameSite</a> ont récemment changé de telle sorte que :</p> - - <ol> - <li>Le comportement d'envoi des cookies si <code>SameSite</code> n'est pas spécifié est <code>SameSite=Lax</code>. Auparavant, le comportement par défaut était que les cookies étaient envoyés pour toutes les requêtes.</li> - <li>Les cookies avec <code>SameSite=None</code> doivent désormais également spécifier l'attribut <code>Secure</code> (c'est-à-dire qu'ils nécessitent un contexte sécurisé).</li> - </ol> - - <p>Les options ci-dessous couvrent le nouveau comportement. Voir le tableau <a href="/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite#browser_compatibility">Compatibilité des navigateurs</a> pour des informations sur la mise en œuvre spécifique des navigateurs (lignes : « <code>SameSite</code> : Defaults to <code>Lax</code> » et « <code>SameSite</code> : Secure context required »).</p> - </div> - <p>Les options sont :</p> - <ul> - <li><code>Strict</code> : le navigateur envoie le cookie uniquement pour les demandes provenant du même site (c'est-à-dire les demandes provenant du même site qui a défini le cookie). Si la demande provient d'une URL différente de l'URL actuelle, aucun cookie avec l'attribut <code>SameSite=Strict</code> n'est envoyé.</li> - <li><code>Lax</code> : Le cookie n'est pas envoyé sur les requêtes inter-sites, telles que les appels pour charger des images ou des <i>iframes</i>, mais il est envoyé lorsqu'un utilisateur navigue vers le site d'origine à partir d'un site externe (par exemple, s'il suit un lien). C'est le comportement par défaut si l'attribut <code>SameSite</code> n'est pas spécifié.</li> - <li><code>None</code> : Le navigateur envoie le cookie avec les requêtes inter-sites et les requêtes sur un même site. L'attribut <code>Secure</code> doit également être défini lorsque <code>SameSite=None</code> !</li> - </ul> - </dd> -</dl> - -<h2 id="examples">Exemples</h2> - -<h3 id="session_cookie">Cookie de session</h3> - -<p><strong>Les cookies de session</strong> sont supprimés quand le client s'éteint. Les cookies sont des cookies de session s'ils n'ont pas de directive <code>Expires</code> ou <code>Max-Age</code>.</p> - -<pre>Set-Cookie: sessionId=38afes7a8</pre> - -<h3 id="permanent_cookie">Cookie permanent</h3> - -<p>Au lieu d'expirer lorsque le client est fermé, les <strong>cookies permanents</strong> expirent à une date spécifique (<code>Expires</code>) ou après une valeur de temps (<code>Max-Age</code>).</p> - -<pre>Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT</pre> - -<pre>Set-Cookie: id=a3fWa; Max-Age=2592000</pre> - -<h3 id="invalid_domains">Domaines invalides</h3> - -<p>Un cookie pour un domaine qui n'inclut pas le serveur qui le définit <a href="https://tools.ietf.org/html/rfc6265#section-4.1.2.3"> doit être rejeté par l'agent utilisateur</a>.</p> - -<p>Le cookie suivant sera rejeté si le serveur est hébergé sur <code>originalcompany.com</code>:</p> - -<pre>Set-Cookie: qwerty=219ffwef9w0f; Domain=somecompany.co.uk</pre> - -<p>Un cookie pour un sous-domaine du domaine servi sera rejeté.</p> - -<p>Le cookie suivant sera rejeté si le serveur est hébergé sur <code>example.com</code>:</p> +## Syntaxe -<pre>Set-Cookie: sessionId=e8bb43229de9; Domain=foo.example.com</pre> - -<h3 id="cookie_prefixes">Préfixes de cookie</h3> + Set-Cookie: <cookie-name>=<cookie-value> + Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date> + Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<non-zero-digit> + Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value> + Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value> + Set-Cookie: <cookie-name>=<cookie-value>; Secure + Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly -<p>Les cookies préfixés par <code>__Secure-</code> ou <code>__Host-</code> peuvent être utilisés seulement s'ils sont définis avec l'attribut <code>secure</code> depuis une origine sécurisée (HTTPS).</p> - -<p>De plus, les cookies avec le préfixe <code>__Host-</code> doivent avoir un <code>path</code> qui vaut <code>/</code> (donc tous les chemins de l'hôte) et ne doivent pas avoir d'attribut <code>Domain</code>.</p> - -<div class="warning"> - <p><strong>Attention :</strong> Pour les clients qui n'implémentent pas les préfixes de cookies, vous ne pouvez pas compter sur ces contraintes, les cookies avec un préfixe seront toujours acceptés.</p> -</div> - -<pre>// Les deux sont acceptés s'ils viennent d'une origine sécurisée (HTTPS) -Set-Cookie: __Secure-ID=123; Secure; Domain=example.com -Set-Cookie: __Host-ID=123; Secure; Path=/ + Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Strict + Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Lax + Set-Cookie: <cookie-name>=<cookie-value>; SameSite=None -// Rejeté car l'attribut Secure est manquant -Set-Cookie: __Secure-id=1 + // L'usage d'attributs multiples est également possible, par exemple : + Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly -// Rejeté car l'attribut Path=/ est manquant -Set-Cookie: __Host-id=1; Secure +## Attributs -// Rejeté à cause du domaine qui est spécifié -Set-Cookie: __Host-id=1; Secure; Path=/; domain=example.com</pre> +- `<cookie-name>=<cookie-value>` -<h2 id="specifications">Spécifications</h2> + - : Un cookie commence par une paire nom-valeur: -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{RFC("6265", "Set-Cookie", "4.1")}}</td> - <td>HTTP State Management Mechanism</td> - </tr> - <tr> - <td><a href="https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-05">draft-ietf-httpbis-rfc6265bis-05</a></td> - <td>Cookie Prefixes, Same-Site Cookies, and Strict Secure Cookies</td> - </tr> - </tbody> -</table> + - Le nom porté par `<cookie-name>` peut-être composé de n'importe quels caractères ASCII, à l'exception des caractères de contrôle, d'espace, de tabulation et des caractères de séparation suivants : `( ) < > @ , ; : \ " / [ ] ? = { }`. + - La valeur, `<cookie-value>`, peut éventuellement être entourée de guillemets doubles et peut être composée de n'importe quel caractère ASCII à l'exception des caractères de contrôle, des blancs, des guillemets doubles, d'une virgule, d'un point-virgule ou d'une barre oblique inversée (_backslash_). **Encodage** : de nombreuses implémentations encodent les caractères d'URL (_URL-encoding_) bien que ce ne soit pas nécessaire selon la RFC. Une telle transformation facilite tout de même l'utilisation de caractères autorisés. + - Le préfixe **`__Secure-`** : les cookies commençant par `__Secure-` (le tiret fait partie du préfixe) doivent être définis avec le drapeau `secure` depuis une page sécurisée (HTTPS). + - Le préfixe **`__Host-`** : Les cookies commençant par `__Host-` doivent être définis avec le drapeau `secure`, depuis une page sécurisée (HTTPS), ne doivent pas avoir de domaine spécifié (et donc pas envoyé à un sous-domaine) et le chemin doit être `/`. + +- `Expires=<date>` {{optional_inline}} + + - : Le temps de vie maximal d'un cookie sous la forme d'une date HTTP. Voir [`Date`](/fr/docs/Web/HTTP/Headers/Date) pour le format requis. + + Si non spécifié, le cookie devient un **cookie de session**. Une session finit quand le client s'arrête, les cookies de sessions sont alors supprimés à ce moment. + + > **Attention :** Plusieurs navigateurs ont un système de récupération de session qui enregistre les onglets et les restaure quand le navigateur redémarre. Les cookies de session seront aussi restaurés comme si le navigateur ne s'était jamais arrêté. + + Quand une telle date de péremption est indiquée, elle est relative au _client_ et pas au serveur. + +- `Max-Age=<number> `{{optional_inline}} + - : Le nombre de secondes avant son expiration. Une valeur nulle ou négative fera expirer immédiatement le cookie. Si `Expires` et `Max-Age` sont configurés, `Max-Age` sera prioritaire. +- `Domain=<domain-value>` {{optional_inline}} + + - : Le domaine où le cookie sera envoyé. + + - Si omis, la valeur par défaut sera l'hôte de l'URL du document courant. Les sous-domaines ne seront pas inclus. + - Contrairement aux anciennes spécifications, le point au début dans les noms de domaines (`.example.com`) est ignoré. + - Plusieurs valeurs de domaine ne sont pas permises. Si un nom de domaine est spécifié, les sous domaines sont toujours inclus. + +- `Path=<path-value>` {{optional_inline}} + - : Un chemin qui doit exister dans l'URL de la requête ou le navigateur n'enverra pas d'en-tête `Cookie` correspondante par la suite. La barre oblique (`/`) est interprétée comme un séparateur de répertoire. Les sous-répertoires sont inclus, par exemple: pour `Path=/docs` les répertoires `/docs`, `/docs/Web/` et `/docs/Web/HTTP` sont concernés. +- `Secure` {{optional_inline}} + + - : Un cookie sécurisé est envoyé uniquement si la requête est faite en `https:` (sauf pour _localhost_). Cependant des informations confidentielles ne devraient jamais être enregistrées dans un cookie classique, en effet le mécanique est non sécurisé et ne chiffre aucune information. + + > **Note :** Les sites non sécurisés (`http:`) ne peuvent plus définir des cookies ``Secure désormais (depuis Chrome 52+ et Firefox 52+). Depuis Firefox 75, cette restriction ne s'applique pas pour _localhost_. + +- `HttpOnly` {{optional_inline}} + - : Empêche JavaScript d'accéder au cookie; par exemple, au travers de la propriété [`Document.cookie`](/fr/docs/Web/API/Document/cookie), de l'API [`XMLHttpRequest`](/fr/docs/Web/API/XMLHttpRequest) ou de l'API [`Request`](/fr/docs/Web/API/Request). Cela protège des attaques _cross-site scripting_ ([XSS](/fr/docs/Glossary/XSS)). +- `SameSite=<samesite-value>` {{optional_inline}} + + - : Contrôle si un cookie est envoyé avec les requêtes d'origine croisée, offrant ainsi une certaine protection contre les attaques de falsification de requêtes inter-sites ([CSRF](/fr/docs/Glossary/CSRF)). + + > **Note :** Les normes relatives aux [Cookies SameSite](/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite) ont récemment changé de telle sorte que : + > + > 1. Le comportement d'envoi des cookies si `SameSite` n'est pas spécifié est `SameSite=Lax`. Auparavant, le comportement par défaut était que les cookies étaient envoyés pour toutes les requêtes. + > 2. Les cookies avec `SameSite=None` doivent désormais également spécifier l'attribut `Secure` (c'est-à-dire qu'ils nécessitent un contexte sécurisé). + > + > Les options ci-dessous couvrent le nouveau comportement. Voir le tableau [Compatibilité des navigateurs](/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite#browser_compatibility) pour des informations sur la mise en œuvre spécifique des navigateurs (lignes : « `SameSite` : Defaults to `Lax` » et « `SameSite` : Secure context required »). + + Les options sont : + + - `Strict` : le navigateur envoie le cookie uniquement pour les demandes provenant du même site (c'est-à-dire les demandes provenant du même site qui a défini le cookie). Si la demande provient d'une URL différente de l'URL actuelle, aucun cookie avec l'attribut `SameSite=Strict` n'est envoyé. + - `Lax` : Le cookie n'est pas envoyé sur les requêtes inter-sites, telles que les appels pour charger des images ou des _iframes_, mais il est envoyé lorsqu'un utilisateur navigue vers le site d'origine à partir d'un site externe (par exemple, s'il suit un lien). C'est le comportement par défaut si l'attribut `SameSite` n'est pas spécifié. + - `None` : Le navigateur envoie le cookie avec les requêtes inter-sites et les requêtes sur un même site. L'attribut `Secure` doit également être défini lorsque `SameSite=None` ! + +## Exemples + +### Cookie de session + +**Les cookies de session** sont supprimés quand le client s'éteint. Les cookies sont des cookies de session s'ils n'ont pas de directive `Expires` ou `Max-Age`. + + Set-Cookie: sessionId=38afes7a8 + +### Cookie permanent + +Au lieu d'expirer lorsque le client est fermé, les **cookies permanents** expirent à une date spécifique (`Expires`) ou après une valeur de temps (`Max-Age`). + + Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT + +<!----> + + Set-Cookie: id=a3fWa; Max-Age=2592000 + +### Domaines invalides + +Un cookie pour un domaine qui n'inclut pas le serveur qui le définit [doit être rejeté par l'agent utilisateur](https://tools.ietf.org/html/rfc6265#section-4.1.2.3). + +Le cookie suivant sera rejeté si le serveur est hébergé sur `originalcompany.com`: + + Set-Cookie: qwerty=219ffwef9w0f; Domain=somecompany.co.uk + +Un cookie pour un sous-domaine du domaine servi sera rejeté. + +Le cookie suivant sera rejeté si le serveur est hébergé sur `example.com`: + + Set-Cookie: sessionId=e8bb43229de9; Domain=foo.example.com + +### Préfixes de cookie + +Les cookies préfixés par `__Secure-` ou `__Host-` peuvent être utilisés seulement s'ils sont définis avec l'attribut `secure` depuis une origine sécurisée (HTTPS). + +De plus, les cookies avec le préfixe `__Host-` doivent avoir un `path` qui vaut `/` (donc tous les chemins de l'hôte) et ne doivent pas avoir d'attribut `Domain`. + +> **Attention :** Pour les clients qui n'implémentent pas les préfixes de cookies, vous ne pouvez pas compter sur ces contraintes, les cookies avec un préfixe seront toujours acceptés. + + // Les deux sont acceptés s'ils viennent d'une origine sécurisée (HTTPS) + Set-Cookie: __Secure-ID=123; Secure; Domain=example.com + Set-Cookie: __Host-ID=123; Secure; Path=/ + + // Rejeté car l'attribut Secure est manquant + Set-Cookie: __Secure-id=1 + + // Rejeté car l'attribut Path=/ est manquant + Set-Cookie: __Host-id=1; Secure + + // Rejeté à cause du domaine qui est spécifié + Set-Cookie: __Host-id=1; Secure; Path=/; domain=example.com + +## Spécifications + +| Spécification | Titre | +| ------------------------------------------------------------------------------------------------ | ------------------------------------------------------------- | +| {{RFC("6265", "Set-Cookie", "4.1")}} | HTTP State Management Mechanism | +| [draft-ietf-httpbis-rfc6265bis-05](https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-05) | Cookie Prefixes, Same-Site Cookies, and Strict Secure Cookies | -<h2 id="browser_compatibility">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Set-Cookie", 5)}}</p> +{{Compat("http.headers.Set-Cookie", 5)}} -<h2 id="compatibility_notes">Note de compatibilité</h2> +## Note de compatibilité -<ul> - <li>À partir de Chrome 52 et Firefox 52, les sites non sécurisés (<code>http:</code>) ne peuvent plus définir des cookies avec la directive <code>Secure</code>.</li> -</ul> +- À partir de Chrome 52 et Firefox 52, les sites non sécurisés (`http:`) ne peuvent plus définir des cookies avec la directive `Secure`. -<h2 id="see_also">Voir aussi</h2> +## Voir aussi -<ul> - <li><a href="/fr/docs/Web/HTTP/Cookies">Cookies HTTP</a></li> - <li><a href="/fr/docs/Web/HTTP/Headers/Cookie"><code>Cookie</code></a></li> - <li><a href="/fr/docs/Web/API/Document/cookie"><code>Document.cookie</code></a></li> - <li><a href="/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite">Cookies SameSite</a></li> -</ul> +- [Cookies HTTP](/fr/docs/Web/HTTP/Cookies) +- [`Cookie`](/fr/docs/Web/HTTP/Headers/Cookie) +- [`Document.cookie`](/fr/docs/Web/API/Document/cookie) +- [Cookies SameSite](/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite) diff --git a/files/fr/web/http/headers/set-cookie/samesite/index.md b/files/fr/web/http/headers/set-cookie/samesite/index.md index 1daba82b19..bc08705b7c 100644 --- a/files/fr/web/http/headers/set-cookie/samesite/index.md +++ b/files/fr/web/http/headers/set-cookie/samesite/index.md @@ -8,110 +8,97 @@ tags: - samesite translation_of: Web/HTTP/Headers/Set-Cookie/SameSite --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'attribut <strong><code>SameSite</code></strong> de l'en-tête de réponse HTTP {{HTTPHeader("Set-Cookie")}} vous permet de déclarer si vos cookies doivent être restreints au site visité, à des tiers, ou à des sous-domaines du site actuel.</p> +L'attribut **`SameSite`** de l'en-tête de réponse HTTP {{HTTPHeader("Set-Cookie")}} vous permet de déclarer si vos cookies doivent être restreints au site visité, à des tiers, ou à des sous-domaines du site actuel. -<h2 id="Valeurs">Valeurs</h2> +## Valeurs -<p>L'attribut <code>SameSite</code> accepte trois valeurs possibles :</p> +L'attribut `SameSite` accepte trois valeurs possibles : -<h3 id="Lax"><code>Lax</code></h3> +### `Lax` -<p>Les cookies sont transférables depuis le site actuel vers des sites de niveaux inférieurs et seront envoyés lors de requêtes GET initialisées par des sites tiers. C'est la valeur par défaut des navigateurs les plus récents.</p> +Les cookies sont transférables depuis le site actuel vers des sites de niveaux inférieurs et seront envoyés lors de requêtes GET initialisées par des sites tiers. C'est la valeur par défaut des navigateurs les plus récents. -<h3 id="Strict"><code>Strict</code></h3> +### `Strict` -<p>Les cookies ne seront envoyés qu'avec les requêtes effectuées sur le domaine de même niveau, et ne seront pas envoyées sur les requêtes vers des sites tiers.</p> +Les cookies ne seront envoyés qu'avec les requêtes effectuées sur le domaine de même niveau, et ne seront pas envoyées sur les requêtes vers des sites tiers. -<h3 id="None"><code>None</code></h3> +### `None` -<p>Les cookies seront envoyés dans tous les contextes, rendant possibles les requêtes de type <em>cross-origin</em>.</p> +Les cookies seront envoyés dans tous les contextes, rendant possibles les requêtes de type _cross-origin_. -<p><code>None</code> était la valeur par défaut des navigateurs, mais les navigateurs les plus récents optent désormais pour la valeur <code>Lax</code> comme valeur par défaut pour une meilleure défense contre les attaques de type <em>cross-site request forgery</em> ({{Glossary("CSRF")}}).</p> +`None` était la valeur par défaut des navigateurs, mais les navigateurs les plus récents optent désormais pour la valeur `Lax` comme valeur par défaut pour une meilleure défense contre les attaques de type _cross-site request forgery_ ({{Glossary("CSRF")}}). -<p><code>None</code> requiert l'attribut <code>Secure</code> dans les dernières versions des navigateurs les plus récents. Voir plus bas pour plus d'informations.</p> +`None` requiert l'attribut `Secure` dans les dernières versions des navigateurs les plus récents. Voir plus bas pour plus d'informations. -<h2 id="Corriger_les_erreurs_les_plus_communes">Corriger les erreurs les plus communes</h2> +## Corriger les erreurs les plus communes -<h3 id="SameSiteNone_requiert_Secure"><code>SameSite=None</code> requiert <code>Secure</code></h3> +### `SameSite=None` requiert `Secure` -<p>Une alerte de ce type peut apparaître dans la console de votre navigateur :</p> +Une alerte de ce type peut apparaître dans la console de votre navigateur : -<blockquote> -<p><em>Some cookies are misusing the “sameSite“ attribute, so it won’t work as expected.<br> - Cookie “</em>myCookie<em>” rejected because it has the “sameSite=none” attribute but is missing the “secure” attribute.</em></p> -</blockquote> +> *Some cookies are misusing the “sameSite“ attribute, so it won’t work as expected. +> Cookie “*myCookie*” rejected because it has the “sameSite=none” attribute but is missing the “secure” attribute.* -<p>Cet alerte apparaît dans les cas où des cookies requièrent l'attribut <code>SameSite=None</code> et ne sont pas marqués <code>Secure</code>, étant donc refusés par le navigateur.</p> +Cet alerte apparaît dans les cas où des cookies requièrent l'attribut `SameSite=None` et ne sont pas marqués `Secure`, étant donc refusés par le navigateur. -<pre class="example-bad">Set-Cookie: flavor=choco; SameSite=None</pre> +```plain example-bad +Set-Cookie: flavor=choco; SameSite=None +``` -<p>Pour corriger cette erreur, vous devez ajouter l'attribut <code>Secure</code> à vos cookies marqués avec l'attribut <code>SameSite=None</code>.</p> +Pour corriger cette erreur, vous devez ajouter l'attribut `Secure` à vos cookies marqués avec l'attribut `SameSite=None`. -<pre class="example-good">Set-Cookie: flavor=choco; SameSite=None; <strong>Secure</strong></pre> +```plain example-good +Set-Cookie: flavor=choco; SameSite=None; Secure +``` -<p>Un cookie <code>Secure</code> ne sera envoyé au serveur que par le biais de requêtes utilisant le protocole HTTPS. Il est à noter que les sites non sécurisés (<code>http:</code>) ne peuvent pas être marqués <code>Secure</code>.</p> +Un cookie `Secure` ne sera envoyé au serveur que par le biais de requêtes utilisant le protocole HTTPS. Il est à noter que les sites non sécurisés (`http:`) ne peuvent pas être marqués `Secure`. -<h3 id="Les_cookies_sans_lattribut_SameSite_utilisent_SameSiteLax_par_défaut">Les cookies sans l'attribut <code>SameSite</code> utilisent <code>SameSite=Lax</code> par défaut</h3> +### Les cookies sans l'attribut `SameSite` utilisent `SameSite=Lax` par défaut -<p>Les dernières versions des navigateurs récents fournissent une valeur par défaut de <code>SameSite</code> plus sécurisée pour vos cookies, il se peut donc que le message suivant apparaisse dans la console de votre navigateur :</p> +Les dernières versions des navigateurs récents fournissent une valeur par défaut de `SameSite` plus sécurisée pour vos cookies, il se peut donc que le message suivant apparaisse dans la console de votre navigateur : -<blockquote> -<p><em>Some cookies are misusing the “sameSite“ attribute, so it won’t work as expected.<br> - Cookie “</em>myCookie<em>” has “sameSite” policy set to “lax” because it is missing a “sameSite” attribute, and “sameSite=lax” is the default value for this attribute.</em></p> -</blockquote> +> *Some cookies are misusing the “sameSite“ attribute, so it won’t work as expected. +> Cookie “*myCookie*” has “sameSite” policy set to “lax” because it is missing a “sameSite” attribute, and “sameSite=lax” is the default value for this attribute.* -<p>Cette alerte apparait car la stratégie de <code>SameSite</code> pour le cookie n'a pas été spécifiée explicitement :</p> +Cette alerte apparait car la stratégie de `SameSite` pour le cookie n'a pas été spécifiée explicitement : -<pre class="example-bad">Set-Cookie: flavor=choco</pre> +```plain example-bad +Set-Cookie: flavor=choco +``` -<p>Même si vous pouvez compter sur la valeur par défaut <code>SameSite=Lax</code> des navigateurs récents, vous devriez tout de même spécifier la stratégie à appliquer pour ce cookie afin de communiquer clairement votre intention. Cela améliorera également l'expérience sur les autres navigateurs si ceux-ci n'utilisent pas encore la valeur par défaut <code>Lax</code>.</p> +Même si vous pouvez compter sur la valeur par défaut `SameSite=Lax` des navigateurs récents, vous devriez tout de même spécifier la stratégie à appliquer pour ce cookie afin de communiquer clairement votre intention. Cela améliorera également l'expérience sur les autres navigateurs si ceux-ci n'utilisent pas encore la valeur par défaut `Lax`. -<pre class="example-good">Set-Cookie: flavor=choco; <strong>SameSite=Lax</strong></pre> +```plain example-good +Set-Cookie: flavor=choco; SameSite=Lax +``` -<h2 id="Exemples"><strong>Exemples</strong></h2> +## **Exemples** -<pre>RewriteEngine on -RewriteBase "/" -RewriteCond "%{HTTP_HOST}" "^example\.org$" [NC] -RewriteRule "^(.*)" "https://www.example.org/index.html" [R=301,L,QSA] -RewriteRule "^(.*)\.ht$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:01:https://www.example.org:30/:SameSite=None:Secure] -RewriteRule "^(.*)\.htm$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:02:https://www.example.org:30/:SameSite=None:Secure] -RewriteRule "^(.*)\.html$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:03:https://www.example.org:30/:SameSite=None:Secure] -[...] -RewriteRule "^admin/(.*)\.html$" "admin/index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:09:https://www.example.org:30/:SameSite=Strict:Secure] -</pre> + RewriteEngine on + RewriteBase "/" + RewriteCond "%{HTTP_HOST}" "^example\.org$" [NC] + RewriteRule "^(.*)" "https://www.example.org/index.html" [R=301,L,QSA] + RewriteRule "^(.*)\.ht$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:01:https://www.example.org:30/:SameSite=None:Secure] + RewriteRule "^(.*)\.htm$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:02:https://www.example.org:30/:SameSite=None:Secure] + RewriteRule "^(.*)\.html$" "index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:03:https://www.example.org:30/:SameSite=None:Secure] + [...] + RewriteRule "^admin/(.*)\.html$" "admin/index.php?nav=$1 [NC,L,QSA,CO=RewriteRule:09:https://www.example.org:30/:SameSite=Strict:Secure] -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{RFC("6265", "Set-Cookie", "4.1")}}</td> - <td>HTTP State Management Mechanism</td> - </tr> - <tr> - <td><a href="https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-05">draft-ietf-httpbis-rfc6265bis-05</a></td> - <td>Cookie Prefixes, Same-Site Cookies, and Strict Secure Cookies</td> - </tr> - </tbody> -</table> +| Spécification | Titre | +| ------------------------------------------------------------------------------------------------ | ------------------------------------------------------------- | +| {{RFC("6265", "Set-Cookie", "4.1")}} | HTTP State Management Mechanism | +| [draft-ietf-httpbis-rfc6265bis-05](https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-05) | Cookie Prefixes, Same-Site Cookies, and Strict Secure Cookies | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Set-Cookie", 5)}}</p> +{{Compat("http.headers.Set-Cookie", 5)}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li><a href="/fr/docs/Web/HTTP/Cookies">Les cookies HTTP</a></li> - <li>{{HTTPHeader("Cookie")}}</li> - <li>{{domxref("Document.cookie")}}</li> -</ul> +- [Les cookies HTTP](/fr/docs/Web/HTTP/Cookies) +- {{HTTPHeader("Cookie")}} +- {{domxref("Document.cookie")}} diff --git a/files/fr/web/http/headers/tk/index.md b/files/fr/web/http/headers/tk/index.md index 677741b57c..6d84fd981b 100644 --- a/files/fr/web/http/headers/tk/index.md +++ b/files/fr/web/http/headers/tk/index.md @@ -3,89 +3,73 @@ title: Tk slug: Web/HTTP/Headers/Tk translation_of: Web/HTTP/Headers/Tk --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'entête de réponse <code>Tk</code> indique le statut de suivi (tracking) qui s'applique à la demande correspondante.</p> +L'entête de réponse `Tk` indique le statut de suivi (tracking) qui s'applique à la demande correspondante. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'entête</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'entête</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Tk: ! (en construction) -Tk: ? (dynamique) -Tk: G (passerelle ou multiples parties) -Tk: N (pas de suivi) -Tk: T (suivi) -Tk: C (suivi avec consentement) -Tk: P (consentement potentiel) -Tk: D (ne tient pas compte de DNT) -Tk: U (mis à jour) -</pre> + Tk: ! (en construction) + Tk: ? (dynamique) + Tk: G (passerelle ou multiples parties) + Tk: N (pas de suivi) + Tk: T (suivi) + Tk: C (suivi avec consentement) + Tk: P (consentement potentiel) + Tk: D (ne tient pas compte de DNT) + Tk: U (mis à jour) -<h3 id="Directives">Directives</h3> +### Directives -<dl> - <dt>!</dt> - <dd>En construction. Le serveur d'origine teste actuellement sa communication de l'état du suivi.</dd> - <dt>?</dt> - <dd>Dynamique. Le serveur d'origine a besoin de plus d'informations pour déterminer l'état du suivi.</dd> - <dt>G</dt> - <dd>Passerelle ou multiples parties. Le serveur fait office de passerelle vers un échange impliquant plusieurs parties.</dd> - <dt>N</dt> - <dd>Pas de suivi.</dd> - <dt>T</dt> - <dd>Suivi.</dd> - <dt>C</dt> - <dd>Suivi avec consentement. Le serveur d'origine pense avoir reçu un consentement préalable pour le suivi de cet utilisateur, user-agent ou appareil.</dd> - <dt>P</dt> - <dd>Consentement potentiel. Le serveur d'origine ne sait pas, en temps réel, s'il a reçu un consentement préalable pour le suivi de cet utilisateur, user-agent ou appareil, mais promet de ne pas utiliser ou partager de données DNT:1 jusqu'à ce que ce consentement ait été déterminé. Il promet en outre de supprimer ou d'anonymiser de manière permanente dans les 48 heures toute donnée DNT:1 reçue pour laquelle ce consentement n'a pas été reçu.</dd> - <dt>D</dt> - <dd>Ne tient pas compte de DNT. Le serveur d'origine ne peut ou ne veut pas respecter une préférence de suivi reçue de l'user-agent demandeur.</dd> - <dt>U</dt> - <dd>Mis à jour. La demande a entraîné un changement potentiel du statut de suivi applicable à cet utilisateur, user-agent ou appareil.</dd> -</dl> +- ! + - : En construction. Le serveur d'origine teste actuellement sa communication de l'état du suivi. +- ? + - : Dynamique. Le serveur d'origine a besoin de plus d'informations pour déterminer l'état du suivi. +- G + - : Passerelle ou multiples parties. Le serveur fait office de passerelle vers un échange impliquant plusieurs parties. +- N + - : Pas de suivi. +- T + - : Suivi. +- C + - : Suivi avec consentement. Le serveur d'origine pense avoir reçu un consentement préalable pour le suivi de cet utilisateur, user-agent ou appareil. +- P + - : Consentement potentiel. Le serveur d'origine ne sait pas, en temps réel, s'il a reçu un consentement préalable pour le suivi de cet utilisateur, user-agent ou appareil, mais promet de ne pas utiliser ou partager de données DNT:1 jusqu'à ce que ce consentement ait été déterminé. Il promet en outre de supprimer ou d'anonymiser de manière permanente dans les 48 heures toute donnée DNT:1 reçue pour laquelle ce consentement n'a pas été reçu. +- D + - : Ne tient pas compte de DNT. Le serveur d'origine ne peut ou ne veut pas respecter une préférence de suivi reçue de l'user-agent demandeur. +- U + - : Mis à jour. La demande a entraîné un changement potentiel du statut de suivi applicable à cet utilisateur, user-agent ou appareil. -<h2 id="Exemple">Exemple</h2> +## Exemple -<p>Un entête <code>Tk</code> pour une ressource qui prétend ne pas être suivie :</p> +Un entête `Tk` pour une ressource qui prétend ne pas être suivie : -<pre>Tk: N</pre> + Tk: N -<h2 id="Specifications">Specifications</h2> +## Specifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Specification</th> - <th scope="col">Status</th> - <th scope="col">Comment</th> - </tr> - <tr> - <td>{{SpecName('Tracking','#Tk-header-defn', 'Tk header field')}}</td> - <td>{{Spec2("Tracking")}}</td> - <td>Initial definition.</td> - </tr> - </tbody> -</table> +| Specification | Status | Comment | +| -------------------------------------------------------------------------------- | ---------------------------- | ------------------- | +| {{SpecName('Tracking','#Tk-header-defn', 'Tk header field')}} | {{Spec2("Tracking")}} | Initial definition. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Tk")}}</p> +{{Compat("http.headers.Tk")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("DNT")}} header</li> - <li>{{domxref("Navigator.doNotTrack")}}</li> -</ul> +- {{HTTPHeader("DNT")}} header +- {{domxref("Navigator.doNotTrack")}} diff --git a/files/fr/web/http/headers/trailer/index.md b/files/fr/web/http/headers/trailer/index.md index d72dd82230..486e2e2311 100644 --- a/files/fr/web/http/headers/trailer/index.md +++ b/files/fr/web/http/headers/trailer/index.md @@ -3,96 +3,75 @@ title: Trailer slug: Web/HTTP/Headers/Trailer translation_of: Web/HTTP/Headers/Trailer --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête <strong>Trailer</strong> permet à l'expéditeur d'inclure des champs supplémentaires à la fin des blocs de messages pour fournir des métadonnées supplémentaires qui peuvent être générées de manière dynamique pendant que le corps du message sera envoyé, il peut s'agir de la vérification de l'intégrité du message, une signature numérique, ou encore un statut après le traitement.</p> +L'en-tête **Trailer** permet à l'expéditeur d'inclure des champs supplémentaires à la fin des blocs de messages pour fournir des métadonnées supplémentaires qui peuvent être générées de manière dynamique pendant que le corps du message sera envoyé, il peut s'agir de la vérification de l'intégrité du message, une signature numérique, ou encore un statut après le traitement. -<div class="note"> -<p><strong>Note :</strong> L'en-tête {{HTTPHeader("TE")}} de la requête devra être définie en tant que "trailers" pour autoriser les champs de type "trailer".</p> -</div> +> **Note :** L'en-tête {{HTTPHeader("TE")}} de la requête devra être définie en tant que "trailers" pour autoriser les champs de type "trailer". <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>yes</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>yes</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> - -<pre class="syntaxbox">Trailer: header-names</pre> - -<h2 id="Directives">Directives</h2> - -<dl> - <dt><code>header-names</code></dt> - <dd>HTTP header fields which will be present in the trailer part of chunked messages. These header fields are <strong>disallowed</strong>: - <ul> - <li>message framing headers (e.g., {{HTTPHeader("Transfer-Encoding")}} and {{HTTPHeader("Content-Length")}}),</li> - <li>routing headers (e.g., {{HTTPHeader("Host")}}),</li> - <li>request modifiers (e.g., controls and conditionals, like {{HTTPHeader("Cache-Control")}}, {{HTTPHeader("Max-Forwards")}}, or {{HTTPHeader("TE")}}), </li> - <li>authentication headers (e.g., {{HTTPHeader("Authorization")}} or {{HTTPHeader("Set-Cookie")}}),</li> - <li>or {{HTTPHeader("Content-Encoding")}}, {{HTTPHeader("Content-Type")}}, {{HTTPHeader("Content-Range")}}, and <code>Trailer</code> itself.</li> - </ul> - </dd> -</dl> - -<h2 id="Exemple">Exemple</h2> - -<h3 id="Encodage_de_transfert_en_bloc_en_utilisant_les_en-têtes_trailer."><strong>Encodage de transfert en bloc</strong> en utilisant les en-têtes "trailer".</h3> - -<p>Dans cet exemple, l'en-tête {{HTTPHeader("Expires")}} est utilisée à la fin du bloc du message et sert en tant qu'un "trailing header".</p> - -<pre>HTTP/1.1 200 OK -Content-Type: text/plain -Transfer-Encoding: chunked -Trailer: Expires - -7\r\n -Mozilla\r\n -9\r\n -Developer\r\n -7\r\n -Network\r\n -0\r\n -\r\n -Expires: Wed, 21 Oct 2015 07:28:00 GMT</pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Specification</th> - <th scope="col">Title</th> - </tr> - <tr> - <td>{{RFC("7230", "Trailer", "4.4")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing</td> - </tr> - <tr> - <td>{{RFC("7230", "Chunked trailer part", "4.1.2")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing</td> - </tr> - </tbody> -</table> +## Syntaxe + + Trailer: header-names + +## Directives + +- `header-names` + + - : HTTP header fields which will be present in the trailer part of chunked messages. These header fields are **disallowed**: + + - message framing headers (e.g., {{HTTPHeader("Transfer-Encoding")}} and {{HTTPHeader("Content-Length")}}), + - routing headers (e.g., {{HTTPHeader("Host")}}), + - request modifiers (e.g., controls and conditionals, like {{HTTPHeader("Cache-Control")}}, {{HTTPHeader("Max-Forwards")}}, or {{HTTPHeader("TE")}}), + - authentication headers (e.g., {{HTTPHeader("Authorization")}} or {{HTTPHeader("Set-Cookie")}}), + - or {{HTTPHeader("Content-Encoding")}}, {{HTTPHeader("Content-Type")}}, {{HTTPHeader("Content-Range")}}, and `Trailer` itself. + +## Exemple + +### **Encodage de transfert en bloc** en utilisant les en-têtes "trailer". + +Dans cet exemple, l'en-tête {{HTTPHeader("Expires")}} est utilisée à la fin du bloc du message et sert en tant qu'un "trailing header". + + HTTP/1.1 200 OK + Content-Type: text/plain + Transfer-Encoding: chunked + Trailer: Expires + + 7\r\n + Mozilla\r\n + 9\r\n + Developer\r\n + 7\r\n + Network\r\n + 0\r\n + \r\n + Expires: Wed, 21 Oct 2015 07:28:00 GMT + +## Spécifications + +| Specification | Title | +| ---------------------------------------------------------------- | ------------------------------------------------------------------ | +| {{RFC("7230", "Trailer", "4.4")}} | Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing | +| {{RFC("7230", "Chunked trailer part", "4.1.2")}} | Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing | -<h2 id="Browser_compatibility">Compatibilités</h2> +## Compatibilités -<p>{{Compat("http/headers/trailer")}}</p> +{{Compat("http/headers/trailer")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Transfer-Encoding")}}</li> - <li>{{HTTPHeader("TE")}}</li> - <li> - <p><a href="https://fr.wikipedia.org/wiki/Chunked_transfer_encoding">Encodage de transfert en bloc</a></p> - </li> -</ul> +- {{HTTPHeader("Transfer-Encoding")}} +- {{HTTPHeader("TE")}} +- [Encodage de transfert en bloc](https://fr.wikipedia.org/wiki/Chunked_transfer_encoding) diff --git a/files/fr/web/http/headers/vary/index.md b/files/fr/web/http/headers/vary/index.md index 9686318de5..1d478a7cec 100644 --- a/files/fr/web/http/headers/vary/index.md +++ b/files/fr/web/http/headers/vary/index.md @@ -9,77 +9,61 @@ tags: - en-tête translation_of: Web/HTTP/Headers/Vary --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête HTTP <strong><code>Vary</code></strong> détermine comment les en-têtes de requêtes futures sont associés pour décider si une réponse en cache peut être réutilisée plutôt que de solliciter à nouveau le serveur d'origine. Il est utilisé par le serveur pour indiquer quels en-têtes sont utilisés pour représenter une resource dans un algorithme de <a href="/en-US/docs/Web/HTTP/Content_negotiation">négociation de contenu</a>.</p> +L'en-tête HTTP **`Vary`** détermine comment les en-têtes de requêtes futures sont associés pour décider si une réponse en cache peut être réutilisée plutôt que de solliciter à nouveau le serveur d'origine. Il est utilisé par le serveur pour indiquer quels en-têtes sont utilisés pour représenter une resource dans un algorithme de [négociation de contenu](/en-US/docs/Web/HTTP/Content_negotiation). -<p>L'en-tête <code>Vary</code> doit être renseigné de manière identique sur une réponse {{HTTPStatus("304")}} <code>Not Modified</code> à ce qu'elle aurait été sur la réponse {{HTTPStatus("200")}} <code>OK</code> correspondante.</p> +L'en-tête `Vary` doit être renseigné de manière identique sur une réponse {{HTTPStatus("304")}} `Not Modified` à ce qu'elle aurait été sur la réponse {{HTTPStatus("200")}} `OK` correspondante. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Vary: * -Vary: <header-name>, <header-name>, ... -</pre> + Vary: * + Vary: <header-name>, <header-name>, ... -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt>*</dt> - <dd>Chaque requête pour une URL doit être traitée comme une requête unique à ne pas mettre en cache. Une meilleure manière de l'indiquer est d'utiliser {{HTTPHeader("Cache-Control")}}<code>: private</code>, qui est plus clair à lire et signale aussi que l'objet ne doit jamais être mis en cache.</dd> - <dt><header-name></dt> - <dd>Une liste séparé par des virgules de noms d'en-tête à prendre en compte lorsqu'il est décidé si une réponse en cache peut être utilisée ou non.</dd> -</dl> +- \* + - : Chaque requête pour une URL doit être traitée comme une requête unique à ne pas mettre en cache. Une meilleure manière de l'indiquer est d'utiliser {{HTTPHeader("Cache-Control")}}`: private`, qui est plus clair à lire et signale aussi que l'objet ne doit jamais être mis en cache. +- \<header-name> + - : Une liste séparé par des virgules de noms d'en-tête à prendre en compte lorsqu'il est décidé si une réponse en cache peut être utilisée ou non. -<h2 id="Examples">Examples</h2> +## Examples -<h3 id="Service_dynamique">Service dynamique</h3> +### Service dynamique -<p>Lorsque l'en-tête <code>Vary: User-Agent</code> est utilisée, les serveurs de cache doivent prendre en compte l'agent de l'utilisateur pour décider de servir la page depuis le cache ou non. Par exemple, si vous servez du contenu différent pour les utilisateurs sur mobile, il aide à éviter qu'une version ordinateur de votre site ne soit distribuée à un utilisateur sur mobile. Il peut aider google et d'autres moteurs de recherche à prendre en compte la version pour mobile d'un site, ainsi que de signaler que le <a href="https://en.wikipedia.org/wiki/Cloaking">Cloaking</a> n'est pas intentionel.</p> +Lorsque l'en-tête `Vary: User-Agent` est utilisée, les serveurs de cache doivent prendre en compte l'agent de l'utilisateur pour décider de servir la page depuis le cache ou non. Par exemple, si vous servez du contenu différent pour les utilisateurs sur mobile, il aide à éviter qu'une version ordinateur de votre site ne soit distribuée à un utilisateur sur mobile. Il peut aider google et d'autres moteurs de recherche à prendre en compte la version pour mobile d'un site, ainsi que de signaler que le [Cloaking](https://en.wikipedia.org/wiki/Cloaking) n'est pas intentionel. -<pre>Vary: User-Agent</pre> + Vary: User-Agent -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7231", "Vary", "7.1.4")}}</td> - <td>Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content</td> - </tr> - </tbody> -</table> +| Spécification | Titre | +| -------------------------------------------- | ------------------------------------------------------------- | +| {{RFC("7231", "Vary", "7.1.4")}} | Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.Vary")}}</p> +{{Compat("http.headers.Vary")}} -<h2 id="Notes_de_compatibilité">Notes de compatibilité</h2> +## Notes de compatibilité -<ul> - <li><a href="https://blogs.msdn.microsoft.com/ieinternals/2009/06/17/vary-with-care/">Vary with care – Vary header problems in IE6-9</a></li> -</ul> +- [Vary with care – Vary header problems in IE6-9](https://blogs.msdn.microsoft.com/ieinternals/2009/06/17/vary-with-care/) -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Cache-Control")}}</li> - <li>{{HTTPHeader("User-Agent")}}</li> - <li><a href="https://www.fastly.com/blog/best-practices-for-using-the-vary-header">Best Practices for Using the Vary Header – fastly.com</a></li> -</ul> +- {{HTTPHeader("Cache-Control")}} +- {{HTTPHeader("User-Agent")}} +- [Best Practices for Using the Vary Header – fastly.com](https://www.fastly.com/blog/best-practices-for-using-the-vary-header) diff --git a/files/fr/web/http/headers/www-authenticate/index.md b/files/fr/web/http/headers/www-authenticate/index.md index 4f8234a6f7..6464ad59ca 100644 --- a/files/fr/web/http/headers/www-authenticate/index.md +++ b/files/fr/web/http/headers/www-authenticate/index.md @@ -3,76 +3,58 @@ title: WWW-Authenticate slug: Web/HTTP/Headers/WWW-Authenticate translation_of: Web/HTTP/Headers/WWW-Authenticate --- -<p>{{HTTPSidebar}}<br> - L'entête HTTP de réponse <strong><code>WWW-Authenticate</code></strong> définit la méthode d'authentification qui doit être utilisé pour obtenir l'accès à une ressource.</p> +{{HTTPSidebar}} +L'entête HTTP de réponse **`WWW-Authenticate`** définit la méthode d'authentification qui doit être utilisé pour obtenir l'accès à une ressource. -<p>L'entête <code>WWW-Authenticate</code> est envoyée en même temps qu'une réponse {{HTTPStatus("401")}} <code>Unauthorized</code>.</p> +L'entête `WWW-Authenticate` est envoyée en même temps qu'une réponse {{HTTPStatus("401")}} `Unauthorized`. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type de l'entête</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type de l'entête</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">WWW-Authenticate: <type> realm=<realm> -</pre> + WWW-Authenticate: <type> realm=<realm> -<h2 id="Directives">Directives</h2> +## Directives -<dl> - <dt><type></dt> - <dd><a href="/en-US/docs/Web/HTTP/Authentication#Authentication_schemes">Type d'authentification</a>. Un type commun est <a href="/en-US/docs/Web/HTTP/Authentication#Basic_authentication_scheme">"Basic"</a>. IANA maintient une <a href="http://www.iana.org/assignments/http-authschemes/http-authschemes.xhtml">liste des schémas d'authentification</a>.</dd> - <dt>realm=<realm></dt> - <dd>Une description de la zone protégée. Si aucun domaine n'est spécifié, les clients affichent souvent un nom de domaine formaté à la place.</dd> - <dt>charset=<charset></dt> - <dd>Indique au client le schéma d'encodage préféré du serveur lorsqu'on soumet un nom d'utilisateur et un mot de passe. La seule valeur acceptée est la chaine insensible à la casse "UTF-8". Cela ne s'applique pas à l'encodage de la chaine du domaine.</dd> -</dl> +- \<type> + - : [Type d'authentification](/en-US/docs/Web/HTTP/Authentication#Authentication_schemes). Un type commun est ["Basic"](/en-US/docs/Web/HTTP/Authentication#Basic_authentication_scheme). IANA maintient une [liste des schémas d'authentification](http://www.iana.org/assignments/http-authschemes/http-authschemes.xhtml). +- realm=\<realm> + - : Une description de la zone protégée. Si aucun domaine n'est spécifié, les clients affichent souvent un nom de domaine formaté à la place. +- charset=\<charset> + - : Indique au client le schéma d'encodage préféré du serveur lorsqu'on soumet un nom d'utilisateur et un mot de passe. La seule valeur acceptée est la chaine insensible à la casse "UTF-8". Cela ne s'applique pas à l'encodage de la chaine du domaine. -<h2 id="Exemples">Exemples</h2> +## Exemples -<p>La réponse d'un serveur contient généralement l'entête <code>WWW-Authenticate</code> qui ressemble à ça :</p> +La réponse d'un serveur contient généralement l'entête `WWW-Authenticate` qui ressemble à ça : -<pre>WWW-Authenticate: Basic + WWW-Authenticate: Basic -WWW-Authenticate: Basic realm="Accès au site de staging", charset="UTF-8" -</pre> + WWW-Authenticate: Basic realm="Accès au site de staging", charset="UTF-8" -<p>Voir aussi <a href="/en-US/docs/Web/HTTP/Authentication">HTTP authentication</a> pour des exemples sur la configuration des serveurs Apache ou nginx pour protéger protéger votre site par mot de passe en utilisant l'authentification HTTP basic.</p> +Voir aussi [HTTP authentication](/en-US/docs/Web/HTTP/Authentication) pour des exemples sur la configuration des serveurs Apache ou nginx pour protéger protéger votre site par mot de passe en utilisant l'authentification HTTP basic. -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - <tr> - <td>{{RFC("7235", "WWW-Authenticate", "4.1")}}</td> - <td>HTTP/1.1: Authentication</td> - </tr> - <tr> - <td>{{RFC("7617")}}</td> - <td>The 'Basic' HTTP Authentication Scheme</td> - </tr> - </tbody> -</table> +| Spécification | Titre | +| -------------------------------------------------------- | -------------------------------------- | +| {{RFC("7235", "WWW-Authenticate", "4.1")}} | HTTP/1.1: Authentication | +| {{RFC("7617")}} | The 'Basic' HTTP Authentication Scheme | -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li><a href="/en-US/docs/Web/HTTP/Authentication">HTTP authentication</a></li> - <li>{{HTTPHeader("Authorization")}}</li> - <li>{{HTTPHeader("Proxy-Authorization")}}</li> - <li>{{HTTPHeader("Proxy-Authenticate")}}</li> - <li>{{HTTPStatus("401")}}, {{HTTPStatus("403")}}, {{HTTPStatus("407")}}</li> -</ul> +- [HTTP authentication](/en-US/docs/Web/HTTP/Authentication) +- {{HTTPHeader("Authorization")}} +- {{HTTPHeader("Proxy-Authorization")}} +- {{HTTPHeader("Proxy-Authenticate")}} +- {{HTTPStatus("401")}}, {{HTTPStatus("403")}}, {{HTTPStatus("407")}} diff --git a/files/fr/web/http/headers/x-content-type-options/index.md b/files/fr/web/http/headers/x-content-type-options/index.md index cadeb86472..a40640e8f4 100644 --- a/files/fr/web/http/headers/x-content-type-options/index.md +++ b/files/fr/web/http/headers/x-content-type-options/index.md @@ -8,83 +8,64 @@ tags: - Réponse translation_of: Web/HTTP/Headers/X-Content-Type-Options --- -<p>L'entête <code><strong>X-Content-Type-Options</strong></code> est un marqueur utilisé par le serveur pour indiquer que les <a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types">types MIME</a> annoncés dans les en-têtes {{HTTPHeader("Content-Type")}} ne doivent pas être modifiés ou et suivis. Cela permet de se détacher du sniffing de type <a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types#MIME_sniffing">MIME</a>, ou, en d'autres termes, c'est une façon de dire que les webmasters savaient ce qu'ils faisaient.</p> +L'entête **`X-Content-Type-Options`** est un marqueur utilisé par le serveur pour indiquer que les [types MIME](https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types) annoncés dans les en-têtes {{HTTPHeader("Content-Type")}} ne doivent pas être modifiés ou et suivis. Cela permet de se détacher du sniffing de type [MIME](https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types#MIME_sniffing), ou, en d'autres termes, c'est une façon de dire que les webmasters savaient ce qu'ils faisaient. -<p>Cet en-tête a été introduit par Microsoft dans IE 8 comme un moyen pour les webmasters de bloquer le reniflement de contenu qui se passait et pouvait transformer les types MIME non exécutables en types MIME exécutables. Depuis, d'autres navigateurs l'ont introduit, même si leurs algorithmes de reniflage MIME étaient moins agressifs.</p> +Cet en-tête a été introduit par Microsoft dans IE 8 comme un moyen pour les webmasters de bloquer le reniflement de contenu qui se passait et pouvait transformer les types MIME non exécutables en types MIME exécutables. Depuis, d'autres navigateurs l'ont introduit, même si leurs algorithmes de reniflage MIME étaient moins agressifs. -<p>À partir de Firefox 72, la désactivation du reniflement MIME est également appliqué aux documents de premier niveau si un {{HTTPHeader("Content-type")}} est fourni. Les pages web HTML qui sont servies avec un type MIME différent de <code>text/html</code>, peuvent alors être juste téléchargées au lieu d'êtres rendues (interprétées et affichées par le navigateur). Assurez vous de valoriser correctement ces 2 en-têtes.</p> +À partir de Firefox 72, la désactivation du reniflement MIME est également appliqué aux documents de premier niveau si un {{HTTPHeader("Content-type")}} est fourni. Les pages web HTML qui sont servies avec un type MIME différent de `text/html`, peuvent alors être juste téléchargées au lieu d'êtres rendues (interprétées et affichées par le navigateur). Assurez vous de valoriser correctement ces 2 en-têtes. -<p>Les testeurs de sécurité du site s'attendent généralement à ce que cet en-tête soit défini.</p> +Les testeurs de sécurité du site s'attendent généralement à ce que cet en-tête soit défini. -<div class="note"> - <p><strong>Note :</strong> <code>X-Content-Type-Options</code> ne s'appliquent qu'au <a href="https://fetch.spec.whatwg.org/#should-response-to-request-be-blocked-due-to-nosniff?">blocage des demandes par <code>nosniff</code></a> pour les <a href="https://fetch.spec.whatwg.org/#concept-request-destination">destinations de demandes</a> de "<code>script</code>" et "<code>style</code>". Il permet également le <a href="https://chromium.googlesource.com/chromium/src/+/master/services/network/cross_origin_read_blocking_explainer.md#what-types-of-content-are-protected-by-corb">blocage en lecture croisé (CORB)</a> pour les fichiers HTML, TXT, JSON, et XML (à l'exception des images SVG <code>image/svg+xml</code>).</p> -</div> +> **Note :** `X-Content-Type-Options` ne s'appliquent qu'au [blocage des demandes par `nosniff`](https://fetch.spec.whatwg.org/#should-response-to-request-be-blocked-due-to-nosniff?) pour les [destinations de demandes](https://fetch.spec.whatwg.org/#concept-request-destination) de "`script`" et "`style`". Il permet également le [blocage en lecture croisé (CORB)](https://chromium.googlesource.com/chromium/src/+/master/services/network/cross_origin_read_blocking_explainer.md#what-types-of-content-are-protected-by-corb) pour les fichiers HTML, TXT, JSON, et XML (à l'exception des images SVG `image/svg+xml`). <table class="properties"> - <tbody> - <tr> - <th scope="row">Header type</th> - <td>{{Glossary("Response header")}}</td> - </tr> - <tr> - <th scope="row">{{Glossary("Forbidden header name")}}</th> - <td>Non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Header type</th> + <td>{{Glossary("Response header")}}</td> + </tr> + <tr> + <th scope="row">{{Glossary("Forbidden header name")}}</th> + <td>Non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> - -<pre class="syntaxbox">X-Content-Type-Options: nosniff -</pre> - -<h2 id="Directives">Directives</h2> - -<dl> - <dt><code>nosniff</code></dt> - <dd><p>Bloque une requête si la destination de la requête est de type</p> - <ul> - <li>"<code>style</code>" et le MIME n'est pas de type <code>text/css</code>, ou</li> - <li>"<code>script</code>" et le MIME n'est pas de type <a href="https://html.spec.whatwg.org/multipage/scripting.html#javascript-mime-type">JavaScript MIME type</a></li> - </ul> - <p>Permet le blocage de la lecture croisée pour les types MIME</p> - <ul> - <li><code>text/html</code></li> - <li><code>text/plain</code></li> - <li><code>text/json</code>, <code>application/json</code> ou tout autre type avec une extension JSON: <code>*/*+json</code></li> - <li><code>text/xml</code>, <code>application/xml</code> ou tout autre type avec une extension XML: <code>*/*+xml</code> (hors <code>image/svg+xml</code>)</li> - </ul> - </dd> -</dl> - -<h2 id="Caractéristiques">Caractéristiques</h2> - -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Caractéristique</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{SpecName("Fetch", "#x-content-type-options-header", "X-Content-Type-Options definition")}}</td> - <td>{{Spec2("Fetch")}}</td> - <td>Définition initiale</td> - </tr> - </tbody> -</table> +## Syntaxe + + X-Content-Type-Options: nosniff + +## Directives + +- `nosniff` + + - : Bloque une requête si la destination de la requête est de type + + - "`style`" et le MIME n'est pas de type `text/css`, ou + - "`script`" et le MIME n'est pas de type [JavaScript MIME type](https://html.spec.whatwg.org/multipage/scripting.html#javascript-mime-type) + + Permet le blocage de la lecture croisée pour les types MIME + + - `text/html` + - `text/plain` + - `text/json`, `application/json` ou tout autre type avec une extension JSON: `*/*+json` + - `text/xml`, `application/xml` ou tout autre type avec une extension XML: `*/*+xml` (hors `image/svg+xml`) + +## Caractéristiques + +| Caractéristique | Statut | Commentaire | +| ---------------------------------------------------------------------------------------------------------------------------- | ------------------------ | ------------------- | +| {{SpecName("Fetch", "#x-content-type-options-header", "X-Content-Type-Options definition")}} | {{Spec2("Fetch")}} | Définition initiale | -<h2 id="Browser_compatibility">Browser compatibility</h2> +## Browser compatibility -<p>{{Compat("http.headers.X-Content-Type-Options")}}</p> +{{Compat("http.headers.X-Content-Type-Options")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Type")}}</li> - <li>La <a href="https://blogs.msdn.microsoft.com/ie/2008/09/02/ie8-security-part-vi-beta-2-update/">définition originale</a> de X-Content-Type-Options par Microsoft.</li> - <li>L'<a href="https://observatory.mozilla.org/">Outil Obserservatoire Mozilla</a> teste la configuration (y compris en-tête) des sites Web pour la sécurité et la sûreté.</li> - <li><a href="https://blog.mozilla.org/security/2016/08/26/mitigating-mime-confusion-attacks-in-firefox/">Atténuer les attaques MIME Confusion dans Firefox.</a></li> - <li><a href="https://fetch.spec.whatwg.org/#corb">Blocage de la lecture croisée (CORB)</a></li> - <li><a href="https://chromium.googlesource.com/chromium/src/+/master/services/network/cross_origin_read_blocking_explainer.md">Google Docs CORB explicatif</a></li> -</ul> +- {{HTTPHeader("Content-Type")}} +- La [définition originale](https://blogs.msdn.microsoft.com/ie/2008/09/02/ie8-security-part-vi-beta-2-update/) de X-Content-Type-Options par Microsoft. +- L'[Outil Obserservatoire Mozilla](https://observatory.mozilla.org/) teste la configuration (y compris en-tête) des sites Web pour la sécurité et la sûreté. +- [Atténuer les attaques MIME Confusion dans Firefox.](https://blog.mozilla.org/security/2016/08/26/mitigating-mime-confusion-attacks-in-firefox/) +- [Blocage de la lecture croisée (CORB)](https://fetch.spec.whatwg.org/#corb) +- [Google Docs CORB explicatif](https://chromium.googlesource.com/chromium/src/+/master/services/network/cross_origin_read_blocking_explainer.md) diff --git a/files/fr/web/http/headers/x-frame-options/index.md b/files/fr/web/http/headers/x-frame-options/index.md index b47e3918b5..7f47590b01 100644 --- a/files/fr/web/http/headers/x-frame-options/index.md +++ b/files/fr/web/http/headers/x-frame-options/index.md @@ -8,142 +8,124 @@ tags: - en-tête translation_of: Web/HTTP/Headers/X-Frame-Options --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>L'en-tête de réponse <a href="/fr/docs/Web/HTTP">HTTP</a> <strong><code>X-Frame-Options</code></strong> peut être utilisé afin d'indiquer si un navigateur devrait être autorisé à afficher une page au sein d'un élément {{HTMLElement("frame")}}, {{HTMLElement("iframe")}}, {{HTMLElement("embed")}} ou {{HTMLElement("object")}}. Les sites peuvent utiliser cet en-tête afin d'éviter les attaques de <em>{{interwiki("wikipedia", "clickjacking")}}</em> pour s'assurer que leur contenu ne soit pas embarqués dans d'autres sites.</p> +L'en-tête de réponse [HTTP](/fr/docs/Web/HTTP) **`X-Frame-Options`** peut être utilisé afin d'indiquer si un navigateur devrait être autorisé à afficher une page au sein d'un élément {{HTMLElement("frame")}}, {{HTMLElement("iframe")}}, {{HTMLElement("embed")}} ou {{HTMLElement("object")}}. Les sites peuvent utiliser cet en-tête afin d'éviter les attaques de _{{interwiki("wikipedia", "clickjacking")}}_ pour s'assurer que leur contenu ne soit pas embarqués dans d'autres sites. -<p>Ce complément de sécurité est uniquement valable lorsque l'utilisateur final visite le document avec un navigateur prenant en charge <code>X-Frame-Options</code>.</p> +Ce complément de sécurité est uniquement valable lorsque l'utilisateur final visite le document avec un navigateur prenant en charge `X-Frame-Options`. -<div class="note"> -<p><strong>Note :</strong> L'en-tête {{HTTPHeader("Content-Security-Policy")}} possède une directive <code><a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors">frame-ancestors</a></code> qui <a href="https://www.w3.org/TR/CSP2/#frame-ancestors-and-frame-options">supplante</a> cet en-tête pour les navigateurs compatibles.</p> -</div> +> **Note :** L'en-tête {{HTTPHeader("Content-Security-Policy")}} possède une directive [`frame-ancestors`](/fr/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors) qui [supplante](https://www.w3.org/TR/CSP2/#frame-ancestors-and-frame-options) cet en-tête pour les navigateurs compatibles. <table class="properties"> - <tbody> - <tr> - <th scope="row">Type d'en-tête</th> - <td>En-tête de réponse</td> - </tr> - <tr> - <th scope="row"><a href="/fr/docs/Glossaire/Forbidden_header_name">Nom d'en-tête interdit</a></th> - <td>Non</td> - </tr> - </tbody> + <tbody> + <tr> + <th scope="row">Type d'en-tête</th> + <td>En-tête de réponse</td> + </tr> + <tr> + <th scope="row"> + <a href="/fr/docs/Glossaire/Forbidden_header_name" + >Nom d'en-tête interdit</a + > + </th> + <td>Non</td> + </tr> + </tbody> </table> -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<p>Il existe deux directives pour <code>X-Frame-Options</code> :</p> +Il existe deux directives pour `X-Frame-Options` : -<pre class="syntaxbox">X-Frame-Options: deny -X-Frame-Options: sameorigin -</pre> + X-Frame-Options: deny + X-Frame-Options: sameorigin -<h3 id="Directives">Directives</h3> +### Directives -<p>Si on utilise <code>deny</code>, le chargement de la page dans une <em>frame</em> échouera sur un site tiers mais aussi sur un site de la même origine. En revanche, si on utilise <code>sameorigin</code>, on peut toujours utiliser le document dans une <em>frame</em> si celle-ci partage la même origine.</p> +Si on utilise `deny`, le chargement de la page dans une _frame_ échouera sur un site tiers mais aussi sur un site de la même origine. En revanche, si on utilise `sameorigin`, on peut toujours utiliser le document dans une _frame_ si celle-ci partage la même origine. -<dl> - <dt><code>deny</code></dt> - <dd>La page ne peut pas être affichée dans une <em>frame</em>, quand bien même un site tiers tenterait de la charger.</dd> - <dt><code>sameorigin</code></dt> - <dd>La page ne peut être affichée que dans une <em>frame</em> avec une origine qui est la même que la page elle-même. La spécification laisse le choix au navigateur de décider si cela s'applique au niveau le plus haut, au conteneur parent ou à l'ensemble de la chaîne des <em>frames </em>potentiellement imbriquées. Il est parfois avancé que cette option n'est pas très utile à moins que l'ensemble des ancêtres partage la même origine (cf. {{bug(725490)}}). Voir aussi le tableau de compatibilité ci-après pour plus de détails sur la prise en charge de cette directive.</dd> - <dt><code>allow-from <em>uri</em></code><em> (obsolète)</em></dt> - <dd>Une directive obsolète qui ne fonctionne plus dans les navigateurs récents et qui ne doit donc plus être utilisée. Pour les navigateurs historiques, cette directive permettait d'indiquer une origine via une URI afin d'autoriser l'affichage du document dans les <em>frames</em> chargées depuis cette origine. Pour les anciennes versions de Firefox, on a le même problème qu'avec <code>sameorigin</code> : il n'y a pas de vérifications des différents ancêtres pour voir s'ils partagent la même origine. À la place, on utilisera la directive <code>frame-ancestors</code> de l'en-tête {{HTTPHeader("Content-Security-Policy")}}.</dd> -</dl> +- `deny` + - : La page ne peut pas être affichée dans une _frame_, quand bien même un site tiers tenterait de la charger. +- `sameorigin` + - : La page ne peut être affichée que dans une _frame_ avec une origine qui est la même que la page elle-même. La spécification laisse le choix au navigateur de décider si cela s'applique au niveau le plus haut, au conteneur parent ou à l'ensemble de la chaîne des _frames_ potentiellement imbriquées. Il est parfois avancé que cette option n'est pas très utile à moins que l'ensemble des ancêtres partage la même origine (cf. {{bug(725490)}}). Voir aussi le tableau de compatibilité ci-après pour plus de détails sur la prise en charge de cette directive. +- `allow-from uri` _(obsolète)_ + - : Une directive obsolète qui ne fonctionne plus dans les navigateurs récents et qui ne doit donc plus être utilisée. Pour les navigateurs historiques, cette directive permettait d'indiquer une origine via une URI afin d'autoriser l'affichage du document dans les _frames_ chargées depuis cette origine. Pour les anciennes versions de Firefox, on a le même problème qu'avec `sameorigin` : il n'y a pas de vérifications des différents ancêtres pour voir s'ils partagent la même origine. À la place, on utilisera la directive `frame-ancestors` de l'en-tête {{HTTPHeader("Content-Security-Policy")}}. -<h2 id="Exemples">Exemples</h2> +## Exemples -<div class="note"> -<p><strong>Note :</strong> La balise <code><meta></code> est inutile ici ! <code><meta http-equiv="X-Frame-Options" content="deny"></code> n'aura aucun effet et mieux vaut donc ne pas l'utiliser.</p> -</div> +> **Note :** La balise `<meta>` est inutile ici ! `<meta http-equiv="X-Frame-Options" content="deny">` n'aura aucun effet et mieux vaut donc ne pas l'utiliser. -<h3 id="Configurer_Apache">Configurer Apache</h3> +### Configurer Apache -<p>On peut configurer Apache afin d'envoyer l'en-tête <code>X-Frame-Options</code> pour toutes les pages. Dans la configuration, on ajoutera :</p> +On peut configurer Apache afin d'envoyer l'en-tête `X-Frame-Options` pour toutes les pages. Dans la configuration, on ajoutera : -<pre>Header always set X-Frame-Options "sameorigin" -</pre> + Header always set X-Frame-Options "sameorigin" -<p>Si on veut utiliser la valeur <code>deny</code>, on pourra utiliser ceci dans la configuration :</p> +Si on veut utiliser la valeur `deny`, on pourra utiliser ceci dans la configuration : -<pre>Header set X-Frame-Options "deny" -</pre> + Header set X-Frame-Options "deny" -<h3 id="Configurer_NGINX">Configurer NGINX</h3> +### Configurer NGINX -<p>Avec NGINX, on pourra ajouter la ligne suivante à la configuration HTTP, serveur ou à la configuration de l'emplacement (<em>location</em>) :</p> +Avec NGINX, on pourra ajouter la ligne suivante à la configuration HTTP, serveur ou à la configuration de l'emplacement (_location_) : -<pre>add_header X-Frame-Options sameorigin always; -</pre> + add_header X-Frame-Options sameorigin always; -<h3 id="Configurer_IIS">Configurer IIS</h3> +### Configurer IIS -<p>Pour IIS, on complètera le fichier <code>Web.config</code> :</p> +Pour IIS, on complètera le fichier `Web.config` : -<pre class="brush: xml"><system.webServer> +```xml +<system.webServer> ... - <httpProtocol> - <customHeaders> - <add name="X-Frame-Options" value="sameorigin" /> - </customHeaders> - </httpProtocol> + <httpProtocol> + <customHeaders> + <add name="X-Frame-Options" value="sameorigin" /> + </customHeaders> + </httpProtocol> ... -</system.webServer> -</pre> +</system.webServer> +``` -<h3 id="Configurer_HAProxy">Configurer HAProxy</h3> +### Configurer HAProxy -<p>Pour HAProxy, on ajoutera la ligne suivante à la configuration du <em>front</em>, du <em>listen</em> ou du <em>backend</em> :</p> +Pour HAProxy, on ajoutera la ligne suivante à la configuration du _front_, du _listen_ ou du _backend_ : -<pre>rspadd X-Frame-Options:\ sameorigin -</pre> + rspadd X-Frame-Options:\ sameorigin -<p>Dans les versions plus récentes, voici la forme équivalente :</p> +Dans les versions plus récentes, voici la forme équivalente : -<pre>http-response set-header X-Frame-Options sameorigin -</pre> + http-response set-header X-Frame-Options sameorigin -<h3 id="Configurer_Express_Utiliser_frameguard_en_Node.js">Configurer Express / Utiliser frameguard en Node.js</h3> +### Configurer Express / Utiliser frameguard en Node.js -<p>Si on utilise Express, on pourra utiliser le module <a href="https://helmetjs.github.io/">helmet</a> qui tire parti de <a href="https://helmetjs.github.io/docs/frameguard/">frameguard</a> afin de régler cet en-tête :</p> +Si on utilise Express, on pourra utiliser le module [helmet](https://helmetjs.github.io/) qui tire parti de [frameguard](https://helmetjs.github.io/docs/frameguard/) afin de régler cet en-tête : -<pre class="brush: js">const helmet = require('helmet'); +```js +const helmet = require('helmet'); const app = express(); app.use(helmet.frameguard({ action: "sameorigin" })); -</pre> +``` -<p>On pourra également utiliser <a href="https://helmetjs.github.io/docs/frameguard/">frameguard</a> directement :</p> +On pourra également utiliser [frameguard](https://helmetjs.github.io/docs/frameguard/) directement : -<pre class="brush: js">const frameguard = require('frameguard') +```js +const frameguard = require('frameguard') app.use(frameguard({ action: 'sameorigin' })) -</pre> - -<h2 id="Spécifications">Spécifications</h2> - -<table class="standard-table"> - <thead> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Titre</th> - </tr> - </thead> - <tbody> - <tr> - <td>{{RFC("7034")}}</td> - <td><em>HTTP Header Field X-Frame-Options</em></td> - </tr> - </tbody> -</table> +``` + +## Spécifications + +| Spécification | Titre | +| -------------------- | ----------------------------------- | +| {{RFC("7034")}} | _HTTP Header Field X-Frame-Options_ | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.X-Frame-Options")}}</p> +{{Compat("http.headers.X-Frame-Options")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li><a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors"><code>frame-ancestors</code></a> lié à la configuration de la stratégie CSP via {{HTTPHeader("Content-Security-Policy")}}</li> -</ul> +- [`frame-ancestors`](/fr/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors) lié à la configuration de la stratégie CSP via {{HTTPHeader("Content-Security-Policy")}} |