diff options
Diffstat (limited to 'files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.md')
| -rw-r--r-- | files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.md | 98 |
1 files changed, 45 insertions, 53 deletions
diff --git a/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.md b/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.md index 3b0defb999..8fed1ecd6c 100644 --- a/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.md +++ b/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.md @@ -15,82 +15,74 @@ tags: - upgrade-insecure-requests translation_of: Web/HTTP/Headers/Content-Security-Policy/upgrade-insecure-requests --- -<div>{{HTTPSidebar}}</div> +{{HTTPSidebar}} -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>upgrade-insecure-requests</strong></code> informe l'agent utilisateur de traiter toutes les URL non sécurisées d'un site (servies avec HTTP) comme si elles avaient été remplacées par des URL sécurisées (servies avec HTTPS). Cette directive est prévue pour les sites web ayant un grand nombre d'URL non sécurisées héritées du passé et qui ont besoin d'être récrites.</p> +La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`upgrade-insecure-requests`** informe l'agent utilisateur de traiter toutes les URL non sécurisées d'un site (servies avec HTTP) comme si elles avaient été remplacées par des URL sécurisées (servies avec HTTPS). Cette directive est prévue pour les sites web ayant un grand nombre d'URL non sécurisées héritées du passé et qui ont besoin d'être récrites. -<div class="notecard note"> - <p><strong>Note :</strong> La directive <code>upgrade-insecure-requests</code> est évaluée avant la directive {{CSP("block-all-mixed-content")}} et si cette elle est définie, cette dernière est effectivement ignorée. Il est recommendé de ne définir que l'une des deux directives mais non les deux, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.</p> -</div> +> **Note :** La directive `upgrade-insecure-requests` est évaluée avant la directive {{CSP("block-all-mixed-content")}} et si cette elle est définie, cette dernière est effectivement ignorée. Il est recommendé de ne définir que l'une des deux directives mais non les deux, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP. -<p>The <code>upgrade-insecure-requests</code> directive will not ensure that users visiting your site via links on third-party sites will be upgraded to HTTPS for the top-level navigation and thus does not replace the {{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}}) header, which should still be set with an appropriate <code>max-age</code> to ensure that users are not subject to SSL stripping attacks.</p> +The `upgrade-insecure-requests` directive will not ensure that users visiting your site via links on third-party sites will be upgraded to HTTPS for the top-level navigation and thus does not replace the {{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}}) header, which should still be set with an appropriate `max-age` to ensure that users are not subject to SSL stripping attacks. -<h2 id="Syntaxe">Syntaxe</h2> +## Syntaxe -<pre class="syntaxbox">Content-Security-Policy: upgrade-insecure-requests;</pre> + Content-Security-Policy: upgrade-insecure-requests; -<h2 id="Exemples">Exemples</h2> +## Exemples -<p>Soit cet en-tête CSP :</p> +Soit cet en-tête CSP : -<pre>Content-Security-Policy: upgrade-insecure-requests; -</pre> + Content-Security-Policy: upgrade-insecure-requests; -<p>Et cette balise meta :</p> +Et cette balise meta : -<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"></pre> +```html +<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"> +``` -<p>Avec cet en-tête défini sur le domaine example.com voulant migrer d'HTTP à HTTPS, les requêtes pour des ressources non sécurisées et non navigationnelles sont automatiquement converties (qu'elles soient internes ou externes).</p> +Avec cet en-tête défini sur le domaine example.com voulant migrer d'HTTP à HTTPS, les requêtes pour des ressources non sécurisées et non navigationnelles sont automatiquement converties (qu'elles soient internes ou externes). -<pre class="brush: html"><img src="http://example.com/image.png"> -<img src="http://not-example.com/image.png"></pre> +```html +<img src="http://example.com/image.png"> +<img src="http://not-example.com/image.png"> +``` -<p>Ces URL seront récrites avant que la requête soit envoyée, signifiant qu'aucune requête non sécurisée ne sera envoyée. Notez que si la ressource demandée n'est pas actuellement disponible via HTTPS, la requête échouera sans se rabattre sur HTTP.</p> +Ces URL seront récrites avant que la requête soit envoyée, signifiant qu'aucune requête non sécurisée ne sera envoyée. Notez que si la ressource demandée n'est pas actuellement disponible via HTTPS, la requête échouera sans se rabattre sur HTTP. -<pre class="brush: html"><img src="https://example.com/image.png"> -<img src="https://not-example.com/image.png"></pre> +```html +<img src="https://example.com/image.png"> +<img src="https://not-example.com/image.png"> +``` -<p>Les conversions navigationnelles vers des ressources externes amènent un risque significatif de dysfonctionnement étant donné que des requêtes peuvent n'être pas converties, par exemple celles-ci :</p> +Les conversions navigationnelles vers des ressources externes amènent un risque significatif de dysfonctionnement étant donné que des requêtes peuvent n'être pas converties, par exemple celles-ci : -<pre class="brush: html"><a href="https://example.com/">Home</a> -<a href="http://not-example.com/">Home</a></pre> +```html +<a href="https://example.com/">Home</a> +<a href="http://not-example.com/">Home</a> +``` -<h3 id="Identifier_des_requêtes_non_sécurisées">Identifier des requêtes non sécurisées</h3> +### Identifier des requêtes non sécurisées -<p>À l'aide de l'en-tête {{HTTPHeader("Content-Security-Policy-Report-Only")}} et de la directive {{CSP("report-uri")}}, vous pouvez mettre en place une stratégie de rapportage de violations sans bloquage conjointement à une stratégie de conversion comme :</p> +À l'aide de l'en-tête {{HTTPHeader("Content-Security-Policy-Report-Only")}} et de la directive {{CSP("report-uri")}}, vous pouvez mettre en place une stratégie de rapportage de violations sans bloquage conjointement à une stratégie de conversion comme : -<pre>Content-Security-Policy: upgrade-insecure-requests; default-src https: -Content-Security-Policy-Report-Only: default-src https:; report-uri /endpoint</pre> + Content-Security-Policy: upgrade-insecure-requests; default-src https: + Content-Security-Policy-Report-Only: default-src https:; report-uri /endpoint -<p>De cette manière, vous convertirez toujours les requêtes non sécurisées sur votre site sécurisé mais la stratégie de rapportage identifiera les requêtes non sécurisées et les rapportera à l'adresse fournie.</p> +De cette manière, vous convertirez toujours les requêtes non sécurisées sur votre site sécurisé mais la stratégie de rapportage identifiera les requêtes non sécurisées et les rapportera à l'adresse fournie. -<h2 id="Spécifications">Spécifications</h2> +## Spécifications -<table class="standard-table"> - <tbody> - <tr> - <th scope="col">Spécification</th> - <th scope="col">Statut</th> - <th scope="col">Commentaire</th> - </tr> - <tr> - <td>{{specName("Upgrade Insecure Requests", "#delivery", "upgrade-insecure-requests")}}</td> - <td>{{Spec2('Upgrade Insecure Requests')}}</td> - <td>Définition initiale.</td> - </tr> - </tbody> -</table> +| Spécification | Statut | Commentaire | +| ---------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------- | -------------------- | +| {{specName("Upgrade Insecure Requests", "#delivery", "upgrade-insecure-requests")}} | {{Spec2('Upgrade Insecure Requests')}} | Définition initiale. | -<h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> +## Compatibilité des navigateurs -<p>{{Compat("http.headers.csp.Content-Security-Policy.upgrade-insecure-requests")}}</p> +{{Compat("http.headers.csp.Content-Security-Policy.upgrade-insecure-requests")}} -<h2 id="Voir_aussi">Voir aussi</h2> +## Voir aussi -<ul> - <li>{{HTTPHeader("Content-Security-Policy")}}</li> - <li>{{HTTPHeader("Upgrade-Insecure-Requests")}} header</li> - <li>{{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}}) header</li> - <li>{{CSP("block-all-mixed-content")}}</li> - <li><a href="/en-US/docs/Web/Security/Mixed_content">Mixed content</a></li> -</ul> +- {{HTTPHeader("Content-Security-Policy")}} +- {{HTTPHeader("Upgrade-Insecure-Requests")}} header +- {{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}}) header +- {{CSP("block-all-mixed-content")}} +- [Mixed content](/en-US/docs/Web/Security/Mixed_content) |