diff options
Diffstat (limited to 'files/fr/web/http/headers/content-security-policy/default-src/index.html')
| -rw-r--r-- | files/fr/web/http/headers/content-security-policy/default-src/index.html | 25 |
1 files changed, 8 insertions, 17 deletions
diff --git a/files/fr/web/http/headers/content-security-policy/default-src/index.html b/files/fr/web/http/headers/content-security-policy/default-src/index.html index 4111dc6de1..9f2d9d6cb8 100644 --- a/files/fr/web/http/headers/content-security-policy/default-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/default-src/index.html @@ -16,7 +16,9 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/default-src --- <div>{{HTTPSidebar}}</div> -<p><span class="seoSummary">La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>default-src</code></strong> sert de valeur par défaut pour les autres directives CSP {{Glossary("fetch directive", "fetch directives")}}.</span> Pour chacune des directives suivantes, l'agent utilisateur consultera la directive <code>default-src</code> et utilisera sa valeur pour la directive demandée si celle-ci est absente :</p> +<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>default-src</code></strong> sert de valeur par défaut pour les autres directives CSP {{Glossary("fetch directive", "fetch directives")}}.</p> + +<p>Pour chacune des directives suivantes, l'agent utilisateur consultera la directive <code>default-src</code> et utilisera sa valeur pour la directive demandée si celle-ci est absente :</p> <ul> <li>{{CSP("child-src")}}</li> @@ -54,13 +56,12 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/default-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: default-src <source>; +<pre class="syntaxbox">Content-Security-Policy: default-src <source>; Content-Security-Policy: default-src <source> <source>; </pre> <h3 id="Sources">Sources</h3> -<div id="common_sources"> <p>La <source> peut être une des suivantes :</p> <dl> @@ -87,7 +88,7 @@ Content-Security-Policy: default-src <source> <source>; <dd>Cette valeur fait référence au domaine dont est originaire le document protégé, y compris le protocole et le numéro de port. Vous devez mettre cette valeur entre guillemets. Certains navigateurs excluent spécifiquement les valeurs <code>blob</code> et <code>filesystem</code> des directives de source. Les sites nécessitant une permission pour ces types de contenu peuvent les spécifier en utilisant l'attribut Data.</dd> <dt><code>'unsafe-eval'</code></dt> <dd>Permet l'usage de la fonction <code>eval()</code> et de méthodes similaires pour créer du code à partir de chaines de caractères. Vous devez mettre cette valeur entre guillemets.</dd> - <dt id="unsafe-hashes"><code>'unsafe-hashes'</code></dt> + <dt><code>'unsafe-hashes'</code></dt> <dd>Permet l'usage de certains <a href="/en-US/docs/Web/Guide/Events/Event_handlers">écouteurs d'évènements</a> par attributs. Si vous n'avez besoin que d'écouteurs d'évènements par attributs et non d'éléments {{HTMLElement("script")}} embarqués ou d'URL <code>javascript:</code>, cette valeur est plus sécurisée que <code>unsafe-inline</code>.</dd> <dt><code>'unsafe-inline'</code></dt> <dd>Permet l'usage de ressources embarquées, tels que des éléments {{HTMLElement("script")}} (sans <code>src</code>), d'URL <code>javascript:</code>, de gestionnaire d'évènement par attributs (<code>on<eventName></code>), et d'éléments {{HTMLElement("style")}}. Vous devez mettre cette valeur entre guillemets.</dd> @@ -97,22 +98,12 @@ Content-Security-Policy: default-src <source> <source>; <dd>Une liste de permissions pour des scripts embarqués spécifiques en utilisant un nonce (<em>number used once</em>, nombre à usage unique) cryptographique. Le serveur doit générer un nonce à chaque fois qu'il transmet une réponse. Il est extrèmement important de fournir des nonces non prédictibles, puisque le contraire permettrait aisément de contourner la stratégie de sécurité. Voir <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#Unsafe_inline_script">inline script non fiables</a> pour avoir un exemple. Spécifier un nonce implique que les navigateurs modernes ignoreront la valeur <code>'unsafe-inline'</code>, qui peut toutefois être laissée pour les anciens navigateurs ne supportant pas les nonces.</dd> <dt>'<hash-algorithm>-<base64-value>'</dt> <dd>Un hash sha256, sha384 ou sha512 d'un <code><script></code> ou d'un <code><style></code>. Cette source est composée de deux parties séparées par un tiret : le nom de l'algorithme de chiffrage utilisé pour générer le hash à gauche et le hash encodé en base 64 à droite. Lors de la génération du hash, il ne faut pas inclure les balises <code><script></code> or <code><style></code> et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.). Voir <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#Unsafe_inline_script">inline script non fiables</a> pour en avoir un exemple. En CSP 2.0, cette valeur ne s'applique qu'aux scripts embarqués. CSP 3.0 le permet aussi dans le cas de scripts externes.</dd> -</dl> -</div> - -<div id="strict-dynamic"> -<dl> <dt>'strict-dynamic'</dt> <dd>La valeur <code>strict-dynamic</code> spécifie que la confiance explicitement donnée à un script de la page, par le biais d'un nonce ou d'un hash, doit être propagée à tous les scripts chargés par celui-ci. En conséquence, toute les valeurs telles que <code>'self'</code> ou <code>'unsafe-inline'</code> et listes de permissions sont ignorées. Voir <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#strict-dynamic">script-src</a> pour en avoir un exemple.</dd> -</dl> -</div> - -<div id="report-sample"> -<dl> <dt>'report-sample'</dt> <dd>Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé.</dd> </dl> -</div> + <h2 id="Exemples">Exemples</h2> @@ -120,11 +111,11 @@ Content-Security-Policy: default-src <source> <source>; <p>S'il y a d'autres directives spécifiées, <code>default-src</code> ne les affecte pas. Soit l'en-tête suivant :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: default-src 'self'; script-src https://example.com</pre> +<pre class="brush: bash">Content-Security-Policy: default-src 'self'; script-src https://example.com</pre> <p>Est identique à :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: connect-src 'self'; +<pre class="brush: bash">Content-Security-Policy: connect-src 'self'; font-src 'self'; frame-src 'self'; img-src 'self'; |