diff options
Diffstat (limited to 'files/fr/web/http/headers/content-security-policy/script-src/index.html')
| -rw-r--r-- | files/fr/web/http/headers/content-security-policy/script-src/index.html | 28 |
1 files changed, 14 insertions, 14 deletions
diff --git a/files/fr/web/http/headers/content-security-policy/script-src/index.html b/files/fr/web/http/headers/content-security-policy/script-src/index.html index d050eefcaa..a6b2659ae9 100644 --- a/files/fr/web/http/headers/content-security-policy/script-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/script-src/index.html @@ -40,7 +40,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: script-src <source>; +<pre class="syntaxbox">Content-Security-Policy: script-src <source>; Content-Security-Policy: script-src <source> <source>; </pre> @@ -54,19 +54,19 @@ Content-Security-Policy: script-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: script-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: script-src https://example.com/</pre> <p>Ces scripts seront bloqués et ne seront pas chargés ou exécutés :</p> -<pre class="brush: html notranslate"><script src="https://not-example.com/js/library.js"></script></pre> +<pre class="brush: html"><script src="https://not-example.com/js/library.js"></script></pre> <p>Notez que les gestionnaires d'évènements par attributs sont aussi bloqués :</p> -<pre class="brush: html notranslate"><button id="btn" onclick="doSomething()"></pre> +<pre class="brush: html"><button id="btn" onclick="doSomething()"></pre> <p>Vous devez les remplacer par des appels à la méthode {{domxref("EventTarget.addEventListener", "addEventListener")}} :</p> -<pre class="brush: js notranslate">document.getElementById("btn").addEventListener('click', doSomething);</pre> +<pre class="brush: js">document.getElementById("btn").addEventListener('click', doSomething);</pre> <h3 id="Scripts_embarqués_non_fiables">Scripts embarqués non fiables</h3> @@ -76,32 +76,32 @@ Content-Security-Policy: script-src <source> <source>; <p>Vous pouvez autoriser les scripts embarqués et les gestionnaires d'évènements par attributs en spécifiant la valeur <code>'unsafe-inline'</code>, des nonces ou des hashs correspondant au script.</p> -<pre class="brush: bash notranslate">Content-Security-Policy: script-src 'unsafe-inline'; +<pre class="brush: bash">Content-Security-Policy: script-src 'unsafe-inline'; </pre> <p>Cette directive CSP autorisera tous les scripts {{HTMLElement("script")}} embarqués :</p> -<pre class="brush: html notranslate"><script> +<pre class="brush: html"><script> var inline = 1; </script></pre> <p>Vous pouvez aussi utiliser un nonce pour autoriser spécifiquement certains éléments {{HTMLElement("script")}} embarqués :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: script-src 'nonce-2726c7f26c'</pre> +<pre class="brush: bash">Content-Security-Policy: script-src 'nonce-2726c7f26c'</pre> <p>Vous devrez alors définir ce nonce sur l'élément {{HTMLElement("script")}} :</p> -<pre class="brush: html notranslate"><script nonce="2726c7f26c"> +<pre class="brush: html"><script nonce="2726c7f26c"> var inline = 1; </script></pre> <p>Autrement, vous pouvez créer des hashs à partir de vos scripts. CSP accepte les algorithmes sha256, sha384 et sha512.</p> -<pre class="brush: bash notranslate">Content-Security-Policy: script-src 'sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8='</pre> +<pre class="brush: bash">Content-Security-Policy: script-src 'sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8='</pre> <p>Lors de la génération du hash, vous ne devez pas inclure les balises et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.).</p> -<pre class="brush: html notranslate"><script>var inline = 1;</script></pre> +<pre class="brush: html"><script>var inline = 1;</script></pre> <h3 id="Expressions_dévaluation_non_fiables">Expressions d'évaluation non fiables</h3> @@ -124,15 +124,15 @@ Content-Security-Policy: script-src <source> <source>; <p>La valeur <code>'strict-dynamic'</code> spécifie que la confiance explicitement donnée à un script de la page, par le biais d'un nonce ou d'un hash, doit être propagée à tous les scripts chargés par celui-ci. En conséquence, toute liste de permissions ou expressions de sources telles que <code>'self'</code> ou <code>'unsafe-inline'</code> sont ignorées. Par exemple, une règle telle que <code>script-src 'strict-dynamic' 'nonce-R4nd0m' https://whitelisted.com/</code> autoriserait le chargement de scripts comme <code><script nonce="R4nd0m" src="https://example.com/loader.js"></code> et s'appliquerait ensuite à tous les scripts chargés par <code>loader.js</code>, mais interdirait les scripts chargés depuis <code>https://whitelisted.com/</code> à moins qu'ils soient accompagnés d'un nonce ou chargés depuis un script dont la source est de confiance.</p> -<pre class="brush: bash notranslate">script-src 'strict-dynamic' 'nonce-<em>someNonce</em>'</pre> +<pre class="brush: bash">script-src 'strict-dynamic' 'nonce-<em>someNonce</em>'</pre> <p><em>Ou</em></p> -<pre class="brush: bash notranslate">script-src 'strict-dynamic' 'sha256-<em>base64EncodedHash</em>'</pre> +<pre class="brush: bash">script-src 'strict-dynamic' 'sha256-<em>base64EncodedHash</em>'</pre> <p>Il est possible de déployer <code>strict-dynamic</code> de manière rétrocompatible, sans chercher à connaitre l'agent utilisateur. Cette directive :</p> -<pre class="brush: bash notranslate">script-src 'unsafe-inline' https: 'nonce-abcdefg' 'strict-dynamic'</pre> +<pre class="brush: bash">script-src 'unsafe-inline' https: 'nonce-abcdefg' 'strict-dynamic'</pre> <p>fonctionnera comme <code>'unsafe-inline' https:</code> pour les navigateurs supportant CSP1, <code>https: 'nonce-abcdefg'</code> pour ceux supportant CSP2 et comme <code>'nonce-abcdefg' 'strict-dynamic'</code> pour ceux supportant CSP3.</p> |