diff options
Diffstat (limited to 'files/fr/mozilla/add-ons/webextensions/content_security_policy')
| -rw-r--r-- | files/fr/mozilla/add-ons/webextensions/content_security_policy/index.html | 11 |
1 files changed, 5 insertions, 6 deletions
diff --git a/files/fr/mozilla/add-ons/webextensions/content_security_policy/index.html b/files/fr/mozilla/add-ons/webextensions/content_security_policy/index.html index b6501d5a7a..570ce6a87e 100644 --- a/files/fr/mozilla/add-ons/webextensions/content_security_policy/index.html +++ b/files/fr/mozilla/add-ons/webextensions/content_security_policy/index.html @@ -7,9 +7,8 @@ translation_of: Mozilla/Add-ons/WebExtensions/Content_Security_Policy --- <div>{{AddonSidebar}}</div> -<div class="summary"> <p>Les extensions développées avec les API WebExtension ont une politique de sécurité du contenu (CSP) qui leur est appliquée par défaut. Cela limite les sources à partir desquelles les extensions peuvent charger les ressources provenant d'élément {{HTMLElement("script")}} et {{HTMLElement("object")}} et interdit les pratiques potentiellement dangereuses comme l'utilisation de {{jsxref("Objets_globaux/eval","eval()")}}.</p> -Cet article explique brièvement ce qu'est une CSP, quelle est la politique par défaut, ce que cela signifie pour une extension et comment une extension peut changer la CSP par défaut.</div> +<p>Cet article explique brièvement ce qu'est une CSP, quelle est la politique par défaut, ce que cela signifie pour une extension et comment une extension peut changer la CSP par défaut.</p> <p>La <a href="/fr/docs/Web/HTTP/CSP">Politique de sécurité de contenu</a> (ou <em>Content Security Policy</em> en anglais, abrégé en CSP) est un mécanisme permettant d'empêcher les sites Web d'exécuter involontairement du contenu malveillant. Un site web définit une CSP via un en-tête HTTP envoyé par le serveur. Le rôle de la CSP consiste principalement à indiquer les sources légitimes pour les différents types de contenu (tels que les scripts ou les plugins). Par exemple, un site web peut utiliser une CSP pour indiquer que le navigateur ne doit exécuter que du JavaScript provenant du site web lui-même et non d'autres sources. Une CSP peut également ordonner au navigateur d'interdire les pratiques potentiellement dangereuses telles que l'utilisation de {{jsxref("Objets_globaux/eval","eval()")}}.</p> @@ -48,7 +47,7 @@ Cet article explique brièvement ce qu'est une CSP, quelle est la politique par <li>L'auteur de l'extension peut modifier la stratégie par défaut à l'aide de la clé <code>content_security_policy</code> du fichier de manifeste (<code>manifest.json</code>) mais il existe certaines restrictions sur les règles autorisées. Voir <code><a href="/fr/Add-ons/WebExtensions/manifest.json/content_security_policy">content_security_policy</a></code>.</li> </ul> -<h2 id="Politique_de_sécurité_du_contenu_par_défaut"><a id="Default" name="Default">Politique de sécurité du contenu par défaut</a></h2> +<h2 id="Politique_de_sécurité_du_contenu_par_défaut">Politique de sécurité du contenu par défaut</h2> <p>La politique de sécurité du contenu par défaut pour les extensions est la suivante :</p> @@ -62,7 +61,7 @@ Cet article explique brièvement ce qu'est une CSP, quelle est la politique par <li><a href="/fr/Add-ons/WebExtensions/Content_Security_Policy#Inline_JavaScript">Le code JavaScript « <em>inline</em> » (écrit au sein du document HTML) n'est pas éxécuté.</a></li> </ul> -<h3 id="Emplacement_des_ressources_pour_<script>_et_<objet>"><a id="script_ressources" name="script_ressources">Emplacement des ressources pour <code><script></code> et <code><objet></code></a></h3> +<h3 id="Emplacement_des_ressources_pour_<script>_et_<objet>">Emplacement des ressources pour <code><script></code> et <code><objet></code></h3> <p>Avec la CSP par défaut, les éléments {{HTMLElement("script")}} et {{HTMLElement("object")}} peuvent uniquement charger des ressources qui sont locales à l'extension. Aussi, si on considère cette ligne dans un document HTML d'une extension :</p> @@ -75,7 +74,7 @@ Cet article explique brièvement ce qu'est une CSP, quelle est la politique par <li>Utilisez la clé <code><a href="/fr/Add-ons/WebExtensions/manifest.json/content_security_policy">content_security_policy</a></code> afin d'autoriser l'origine distante dont vous avez besoin.</li> </ul> -<h3 id="eval_et_autres_équivalents"><a id="eval" name="eval"><code>eval()</code> et autres équivalents</a></h3> +<h3 id="eval_et_autres_équivalents"><code>eval()</code> et autres équivalents</h3> <p>Avec la CSP par défaut, il n'est pas possible d'évaluer les chaînes de caractères représentant du code JavaScript. Cela signifie que les formes suivantes ne sont pas autorisés :</p> @@ -85,7 +84,7 @@ Cet article explique brièvement ce qu'est une CSP, quelle est la politique par <pre class="brush: js">var f = new Function("console.log('toto');");</pre> -<h3 id="JavaScript_écrit_dans_le_HTML_inline"><a id="inline_js" name="inline_js">JavaScript écrit dans le HTML (<em>inline</em>)</a></h3> +<h3 id="JavaScript_écrit_dans_le_HTML_inline">JavaScript écrit dans le HTML (<em>inline</em>)</h3> <p>Avec la CSP par défaut, le code JavaScript écrit au sein d'un document HTML n'est pas exécuté. Cela concerne le JavaScript écrit dans les balises <code><script></code> ainsi que les gestionnaires d'évènement intégrés dans les attributs. Autrement dit, les formes suivantes ne sont pas autorisées :</p> |