diff options
Diffstat (limited to 'files/fr/web/http/headers')
57 files changed, 313 insertions, 360 deletions
diff --git a/files/fr/web/http/headers/accept-charset/index.html b/files/fr/web/http/headers/accept-charset/index.html index b3dba30be4..e832f5b513 100644 --- a/files/fr/web/http/headers/accept-charset/index.html +++ b/files/fr/web/http/headers/accept-charset/index.html @@ -5,12 +5,12 @@ translation_of: Web/HTTP/Headers/Accept-Charset --- <div>{{HTTPSidebar}}</div> -<p><span class="tlid-translation translation"><span title="">L'en-tête HTTP de la requête</span></span><strong><code>Accept-Charset</code></strong> <span class="tlid-translation translation"><span title="">indique le jeu de caractères que le client est capable de comprendre</span></span>. <span class="tlid-translation translation"><span title="">À l'aide de la </span></span> <a href="/en-US/docs/Web/HTTP/Content_negotiation">content negotiation</a>, <span class="tlid-translation translation"><span title="">le serveur sélectionne l'une des propositions, l'utilise et informe le client de son choix dans l'en-tête de réponse {{HTTPHeader ("Content-Type")}}.</span> <span title="">Les navigateurs ne définissent généralement pas cet en-tête car la valeur par défaut de chaque type de contenu est généralement correcte et sa transmission permettrait une empreinte digitale plus facile.</span></span></p> +<p>L'en-tête HTTP de la requête<strong><code>Accept-Charset</code></strong> indique le jeu de caractères que le client est capable de comprendre. À l'aide de la <a href="/en-US/docs/Web/HTTP/Content_negotiation">content negotiation</a>, le serveur sélectionne l'une des propositions, l'utilise et informe le client de son choix dans l'en-tête de réponse {{HTTPHeader ("Content-Type")}}. Les navigateurs ne définissent généralement pas cet en-tête car la valeur par défaut de chaque type de contenu est généralement correcte et sa transmission permettrait une empreinte digitale plus facile.</p> -<p><span class="tlid-translation translation"><span title="">Si le serveur ne peut servir aucun jeu de caractères correspondant, il peut théoriquement renvoyer un code d'erreur {{HTTPStatus ("406")}} (non acceptable).</span> <span title="">Cependant, pour une meilleure expérience utilisateur, cela est rarement fait et le moyen le plus courant consiste à ignorer l'en-tête</span></span> <code>Accept-Charset</code> <span class="tlid-translation translation"><span title="">dans ce cas.</span></span></p> +<p>Si le serveur ne peut servir aucun jeu de caractères correspondant, il peut théoriquement renvoyer un code d'erreur {{HTTPStatus ("406")}} (non acceptable). Cependant, pour une meilleure expérience utilisateur, cela est rarement fait et le moyen le plus courant consiste à ignorer l'en-tête <code>Accept-Charset</code> dans ce cas.</p> <div class="note"> -<p><span class="tlid-translation translation"><span title="">Dans les premières versions de HTTP / 1.1, un jeu de caractères par défaut (ISO-8859-1) était défini.</span> <span title="">Ce n'est plus le cas et maintenant chaque type de contenu peut avoir sa propre valeur par défaut.</span></span></p> +<p><strong>Note :</strong> Dans les premières versions de HTTP / 1.1, un jeu de caractères par défaut (ISO-8859-1) était défini. Ce n'est plus le cas et maintenant chaque type de contenu peut avoir sa propre valeur par défaut.</p> </div> <table class="properties"> @@ -33,15 +33,15 @@ translation_of: Web/HTTP/Headers/Accept-Charset // Multiple types, weighted with the {{glossary("quality values", "quality value")}} syntax: Accept-Charset: utf-8, iso-8859-1;q=0.5</pre> -<h2 id="Les_directives"><span class="tlid-translation translation"><span title="">Les directives</span></span></h2> +<h2 id="Les_directives">Les directives</h2> <dl> <dt><code><charset></code></dt> - <dd><span class="tlid-translation translation"><span title="">Un jeu de caractères comme utf-8 ou iso-8859-15.</span></span></dd> + <dd>Un jeu de caractères comme utf-8 ou iso-8859-15.</dd> <dt><code>*</code></dt> - <dd><span class="tlid-translation translation"><span title="">Tout jeu de caractères non mentionné ailleurs dans l'en-tête;</span> <span title="">'*' utilisé comme un joker.</span></span></dd> + <dd>Tout jeu de caractères non mentionné ailleurs dans l'en-tête; '*' utilisé comme un joker.</dd> <dt><code>;q=</code> (q-factor weighting)</dt> - <dt><span class="tlid-translation translation"><span title="">Toute valeur est placée dans un ordre de préférence exprimé à l'aide d'une valeur de qualité relative appelée</span></span> <em>weight</em>.</dt> + <dd>Toute valeur est placée dans un ordre de préférence exprimé à l'aide d'une valeur de qualité relative appelée <em>weight</em>.</dd> </dl> <h2 id="Examples">Examples</h2> @@ -59,7 +59,7 @@ Accept-Charset: utf-8, iso-8859-1;q=0.5, *;q=0.1 <tbody> <tr> <th scope="col">Specification</th> - <th scope="col"><span class="tlid-translation translation"><span title="">Titre</span></span></th> + <th scope="col">Titre</th> </tr> <tr> <td>{{RFC("7231", "Accept-Charset", "5.3.3")}}</td> @@ -72,10 +72,10 @@ Accept-Charset: utf-8, iso-8859-1;q=0.5, *;q=0.1 <p>{{Compat("http.headers.Accept-Charset")}}</p> -<h2 id="Voir_également"><span class="tlid-translation translation"><span title="">Voir également</span></span></h2> +<h2 id="Voir_également">Voir également</h2> <ul> <li>HTTP <a href="/en-US/docs/Web/HTTP/Content_negotiation">content negotiation</a></li> - <li>Header <span class="tlid-translation translation"><span title="">avec le résultat de la négociation de contenu</span></span> : {{HTTPHeader("Content-Type")}}</li> - <li><span class="tlid-translation translation"><span title="">Autres </span></span>Header<span class="tlid-translation translation"><span title=""> similaires</span></span> : {{HTTPHeader("TE")}}, {{HTTPHeader("Accept-Encoding")}}, {{HTTPHeader("Accept-Language")}}, {{HTTPHeader("Accept")}}</li> + <li>Header avec le résultat de la négociation de contenu : {{HTTPHeader("Content-Type")}}</li> + <li>Autres Header similaires : {{HTTPHeader("TE")}}, {{HTTPHeader("Accept-Encoding")}}, {{HTTPHeader("Accept-Language")}}, {{HTTPHeader("Accept")}}</li> </ul> diff --git a/files/fr/web/http/headers/accept-encoding/index.html b/files/fr/web/http/headers/accept-encoding/index.html index f19e6316d0..42d6228260 100644 --- a/files/fr/web/http/headers/accept-encoding/index.html +++ b/files/fr/web/http/headers/accept-encoding/index.html @@ -18,14 +18,14 @@ translation_of: Web/HTTP/Headers/Accept-Encoding <p>Dès lors que l'usage d'<code>identity</code>, signifiant l'absence de compression, n'est pas explicitement interdite, que ce soit par <code>identity;q=0</code> ou <code>*;q=0</code> (sans l'usage d'une autre valeur pour <code>identity</code>), le serveur ne doit jamais renvoyer une erreur <a href="/fr/docs/Web/HTTP/Status/406"><code>406</code></a> <code>Not Acceptable.</code></p> -<div class="note"><strong>Notes :</strong> - -<ul> - <li> - <p>Un dépôt IANA garde à jour <a href="https://www.iana.org/assignments/http-parameters/http-parameters.xml#http-parameters-1">une liste complète des encodages de contenu</a>.</p> - </li> - <li>Deux autres encodages, <code>bzip</code> et <code>bzip2</code>, sont parfois utilisés, bien que non-standards. Ils implémentent l'algorithme utilisé par les deux programmes UNIX respectifs. À noter que le premier n'est plus maintenu suite à des problèmes de licence.</li> -</ul> +<div class="note"> + <p><strong>Note :</strong> + <ul> + <li>Un dépôt IANA garde à jour <a href="https://www.iana.org/assignments/http-parameters/http-parameters.xml#http-parameters-1">une liste complète des encodages de contenu</a>. + </li> + <li>Deux autres encodages, <code>bzip</code> et <code>bzip2</code>, sont parfois utilisés, bien que non-standards. Ils implémentent l'algorithme utilisé par les deux programmes UNIX respectifs. À noter que le premier n'est plus maintenu suite à des problèmes de licence.</li> + </ul> + </p> </div> <table class="properties"> diff --git a/files/fr/web/http/headers/accept/index.html b/files/fr/web/http/headers/accept/index.html index 438652ed62..2f27ede072 100644 --- a/files/fr/web/http/headers/accept/index.html +++ b/files/fr/web/http/headers/accept/index.html @@ -10,7 +10,7 @@ translation_of: Web/HTTP/Headers/Accept --- <div>{{HTTPSidebar}}</div> -<p><font face="Open Sans, arial, x-locale-body, sans-serif">Le paramètre d'entête de requête HTTP </font><code><strong>Accept</strong></code> indique quels sont les types de contenu, exprimés sous la forme de types MIME, que le client sera capable d'interpréter. Par le biais de la résolution de contenu -(<a href="/en-US/docs/Web/HTTP/Content_negotiation">content negotiation</a>), le serveur sélectionne ensuite une proposition parmi toutes, l'utilise et informe le client de son choix avec l'entête de réponse {{HTTPHeader("Content-Type")}}. Les navigateurs fixent des valeurs adéquates pour cet entête selon le contexte où la requête a été exécutée : selon que l'utilisateur souhaite récupérer une feuille de style css, ou qu'il souhaite récupérer une image, une vidéo ou un script, la valeur fixée pour la requête ne sera pas la même.</p> +<p>Le paramètre d'entête de requête HTTP <code><strong>Accept</strong></code> indique quels sont les types de contenu, exprimés sous la forme de types MIME, que le client sera capable d'interpréter. Par le biais de la résolution de contenu -(<a href="/en-US/docs/Web/HTTP/Content_negotiation">content negotiation</a>), le serveur sélectionne ensuite une proposition parmi toutes, l'utilise et informe le client de son choix avec l'entête de réponse {{HTTPHeader("Content-Type")}}. Les navigateurs fixent des valeurs adéquates pour cet entête selon le contexte où la requête a été exécutée : selon que l'utilisateur souhaite récupérer une feuille de style css, ou qu'il souhaite récupérer une image, une vidéo ou un script, la valeur fixée pour la requête ne sera pas la même.</p> <table class="properties"> <tbody> diff --git a/files/fr/web/http/headers/access-control-allow-origin/index.html b/files/fr/web/http/headers/access-control-allow-origin/index.html index d235454ac7..359319cc18 100644 --- a/files/fr/web/http/headers/access-control-allow-origin/index.html +++ b/files/fr/web/http/headers/access-control-allow-origin/index.html @@ -22,7 +22,7 @@ translation_of: Web/HTTP/Headers/Access-Control-Allow-Origin <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Access-Control-Allow-Origin: * +<pre class="syntaxbox">Access-Control-Allow-Origin: * Access-Control-Allow-Origin: <origin> Access-Control-Allow-Origin: null </pre> @@ -40,17 +40,17 @@ Access-Control-Allow-Origin: null <p>Pour permettre à n'importe quelle ressource d'accéder à vos ressources, vous pouvez indiquer :</p> -<pre class="notranslate">Access-Control-Allow-Origin: *</pre> +<pre>Access-Control-Allow-Origin: *</pre> <p>Pour permettre <code>https://developer.mozilla.org</code> d'accéder à vos ressources, vous pouvez indiquer :</p> -<pre class="notranslate">Access-Control-Allow-Origin: https://developer.mozilla.org</pre> +<pre>Access-Control-Allow-Origin: https://developer.mozilla.org</pre> <h3 id="CORS_et_le_cache">CORS et le cache</h3> <p>Si le serveur spécifie un hôte d'origine plutôt que "*", il doit également inclure "<em>Origin</em>" dans l'en-tête de réponse "<em><a href="/fr/docs/Web/HTTP/Headers/Vary">Vary</a></em>" pour indiquer aux clients que les réponses du serveur seront différentes en fonction de la valeur de la demande d'origine entête.</p> -<pre class="notranslate">Access-Control-Allow-Origin: https://developer.mozilla.org +<pre>Access-Control-Allow-Origin: https://developer.mozilla.org Vary: Origin</pre> <h2 id="Caractéristiques">Caractéristiques</h2> diff --git a/files/fr/web/http/headers/authorization/index.html b/files/fr/web/http/headers/authorization/index.html index 7e597dc96e..065c4fc78a 100644 --- a/files/fr/web/http/headers/authorization/index.html +++ b/files/fr/web/http/headers/authorization/index.html @@ -33,20 +33,19 @@ translation_of: Web/HTTP/Headers/Authorization <dl> <dt><em><type></em></dt> - <dd><a href="/fr/docs/Web/HTTP/Authentication#Schéma_d'authentification">Le type d'authentification</a>. Le type <code><a href="/en-US/docs/Web/HTTP/Authentication#Basic_authentication_scheme">"Basic"</a></code> est souvent utilisé. Pour connaître les autres types : + <dd><p><a href="/fr/docs/Web/HTTP/Authentication#Schéma_d'authentification">Le type d'authentification</a>. Le type <code><a href="/en-US/docs/Web/HTTP/Authentication#Basic_authentication_scheme">"Basic"</a></code> est souvent utilisé. Pour connaître les autres types :</p> <ul> <li><a href="http://www.iana.org/assignments/http-authschemes/http-authschemes.xhtml">IANA registry of Authentication schemes</a></li> </ul> </dd> <dt><em><credentials></em></dt> - <dd>Si c'est le type d'authentification <code>"Basic"</code> qui est utilisé, les identifiants sont construits de la manière suivante : + <dd><p>Si c'est le type d'authentification <code>"Basic"</code> qui est utilisé, les identifiants sont construits de la manière suivante :</p> <ul> <li>L'identifiant de l'utilisateur et le mot de passe sont combinés avec deux-points : (<code>aladdin:sesameOuvreToi</code>).</li> <li>Cette chaîne de caractères est ensuite encodée en <a href="/fr/docs/Web/API/WindowBase64/Décoder_encoder_en_base64">base64</a> (<code>YWxhZGRpbjpzZXNhbWVPdXZyZVRvaQ==</code>).</li> </ul> - <div class="note"> - <p><strong>Note</strong>: L'encodage en Base64 n'est pas un chiffrement ou un hachage ! Cette méthode est aussi peu sûre que d'envoyer les identifiants en clair (l'encodage base64 est un encodage réversible). Il faudra privilégier HTTPS lorsqu'on emploie une authentification "basique".</p> + <p><strong>Note :</strong> L'encodage en Base64 n'est pas un chiffrement ou un hachage ! Cette méthode est aussi peu sûre que d'envoyer les identifiants en clair (l'encodage base64 est un encodage réversible). Il faudra privilégier HTTPS lorsqu'on emploie une authentification "basique".</p> </div> </dd> </dl> diff --git a/files/fr/web/http/headers/cache-control/index.html b/files/fr/web/http/headers/cache-control/index.html index 254df474ee..de82079b83 100644 --- a/files/fr/web/http/headers/cache-control/index.html +++ b/files/fr/web/http/headers/cache-control/index.html @@ -11,7 +11,7 @@ translation_of: Web/HTTP/Headers/Cache-Control --- <p>{{HTTPSidebar}}</p> -<p><span class="seoSummary">L'en-tête HTTP <strong><code>Cache-Control</code></strong> contient des directives (ou instructions) pour la <a href="/fr/docs/Web/HTTP/Cache">mise en cache</a> tant dans les requêtes que dans les réponses. Une directive donnée dans une requête ne signifie pas que la même directive doit se trouver dans la réponse.</span></p> +<p>L'en-tête HTTP <strong><code>Cache-Control</code></strong> contient des directives (ou instructions) pour la <a href="/fr/docs/Web/HTTP/Cache">mise en cache</a> tant dans les requêtes que dans les réponses. Une directive donnée dans une requête ne signifie pas que la même directive doit se trouver dans la réponse.</p> <table class="properties"> <tbody> @@ -104,15 +104,7 @@ Cache-Control: stale-if-error=<seconds> <dt><code>no-cache</code></dt> <dd>Indique de renvoyer systématiquement la requête au serveur et ne servir une éventuelle version en cache que dans le cas où le serveur le demande.</dd> <dt><code>no-store</code></dt> - <dd>La réponse <strong>ne</strong> peut être stockée dans<em> aucune</em> mémoire cache. Bien que d'autres directives puissent être définies, C'est la seule directive dont vous avez besoin pour empêcher le réponses en cache sur les navigateurs modernes. <code>max-age=0</code> <strong>est déjà implicite</strong>. <strong>La définition de la directive</strong> <code>must-revalidate</code> <strong>n'a pas de sens</strong> car pour passer la revalidation, vous devez stocker la réponse dans un cache, ce que n'empêche <code>no-store</code>.</dd> - <dd><strong>Ne pas copier-coller les spécifications Internet-Explorer</strong> <code>pre-check=0,post-check=0</code> Si vous le voyez en ligne car il est entièrement ignoré, ce que confirme le <a href="https://twitter.com/ericlaw/status/685201170260819968">tweet du développeur Edge</a>.</dd> - <dt>Désactive le cache par Cache-Control</dt> - <dd> - <pre class="example-good">no-store</pre> - </dd> - <dd> - <pre class="example-bad">no-cache,no-store,must-revalidate,pre-check=0,post-check=0</pre> - </dd> + <dd><p>La réponse <strong>ne</strong> peut être stockée dans<em> aucune</em> mémoire cache. Bien que d'autres directives puissent être définies, C'est la seule directive dont vous avez besoin pour empêcher le réponses en cache sur les navigateurs modernes. <code>max-age=0</code> <strong>est déjà implicite</strong>. <strong>La définition de la directive</strong> <code>must-revalidate</code> <strong>n'a pas de sens</strong> car pour passer la revalidation, vous devez stocker la réponse dans un cache, ce que n'empêche <code>no-store</code>.<strong>Ne pas copier-coller les spécifications Internet-Explorer</strong> <code>pre-check=0,post-check=0</code> Si vous le voyez en ligne car il est entièrement ignoré, ce que confirme le <a href="https://twitter.com/ericlaw/status/685201170260819968">tweet du développeur Edge</a>.</p></dd> </dl> <h3 id="Expiration">Expiration</h3> @@ -158,42 +150,27 @@ Cache-Control: stale-if-error=<seconds> <p>Pour désactiver la mise en cache, vous pouvez envoyer l'en-tête de réponse suivant. En outre, voir aussi les en-têtes <code>Expires</code> et <code>Pragma</code>.</p> -<dl> - <dd> - <pre class="example-good brush: http no-line-numbers">Cache-Control: no-store +<pre class="example-good">Cache-Control: no-store </pre> - </dd> - <dd> - <pre class="example-bad brush: http no-line-numbers">Cache-Control: private,no-cache,no-store,max-age=0,must-revalidate,pre-check=0,post-check=0 + +<pre class="example-bad">Cache-Control: private,no-cache,no-store,max-age=0,must-revalidate,pre-check=0,post-check=0 </pre> - </dd> -</dl> <h3 id="Mise_en_cache_dactifs_statiques">Mise en cache d'actifs statiques</h3> <p>Pour les fichiers de l'application qui ne seront pas modifiés, vous pouvez généralement ajouter une mise en cache agressive en envoyant l'en-tête de réponse ci-dessous. Cela inclut les fichiers statiques qui sont servis par l'application comme les images, les fichiers CSS et les fichiers JavaScript, par exemple. En outre, voir l'en-tête <code>Expires</code>.</p> -<dl> - <dd> - <pre class="brush: http no-line-numbers">Cache-Control: public, max-age=604800, immutable +<pre>Cache-Control: public, max-age=604800, immutable </pre> - </dd> -</dl> <h3 id="Nécessitant_une_revalidation">Nécessitant une revalidation</h3> -<p>Le fait de spécifier <font face="consolas, Liberation Mono, courier, monospace"><span style="background-color: rgba(220, 220, 220, 0.5);">no-cache</span></font> ou <code>max-age=0</code> indique que les clients peuvent mettre une ressource en cache et doivent la revalider à chaque fois avant de l'utiliser. Cela signifie que la requête HTTP se produit à chaque fois, mais qu'elle peut sauter le téléchargement du corps HTTP si le contenu est valide.</p> +<p>Le fait de spécifier no-cache ou <code>max-age=0</code> indique que les clients peuvent mettre une ressource en cache et doivent la revalider à chaque fois avant de l'utiliser. Cela signifie que la requête HTTP se produit à chaque fois, mais qu'elle peut sauter le téléchargement du corps HTTP si le contenu est valide.</p> -<dl> - <dd> - <pre class="brush: http no-line-numbers">Cache-Control: no-cache +<pre>Cache-Control: no-cache Cache-Control: no-cache, max-age=0 Cache-Control: no-cache, max-age=0, stale-while-revalidate=300 </pre> - </dd> -</dl> - - <h2 id="Spécifications">Spécifications</h2> @@ -208,17 +185,17 @@ Cache-Control: no-cache, max-age=0, stale-while-revalidate=300 <tbody> <tr> <td>{{RFC(8246, "HTTP Immutable Responses")}}</td> - <td><span class="spec-RFC">IETF RFC</span></td> + <td>IETF RFC</td> <td></td> </tr> <tr> <td>{{RFC(7234, "Hypertext Transfer Protocol (HTTP/1.1): Caching")}}</td> - <td><span class="spec-RFC">IETF RFC</span></td> + <td>IETF RFC</td> <td></td> </tr> <tr> <td>{{RFC(5861, "HTTP Cache-Control Extensions for Stale Content")}}</td> - <td><span class="spec-RFC">IETF RFC</span></td> + <td>IETF RFC</td> <td>Initial definition</td> </tr> </tbody> diff --git a/files/fr/web/http/headers/connection/index.html b/files/fr/web/http/headers/connection/index.html index 83183257bb..3ea2071137 100644 --- a/files/fr/web/http/headers/connection/index.html +++ b/files/fr/web/http/headers/connection/index.html @@ -12,7 +12,9 @@ translation_of: Web/HTTP/Headers/Connection <p>L'en-tête général <strong><code>Connection</code></strong> contrôle la façon dont la connexion reste ouverte ou non après que la transaction courante soit terminée. Si la valeur envoyée est <code>keep-alive</code>, la connexion est persistente et n'est pas fermée, permettant aux requêtes qui suivent et s'adressent au même serveur d'être envoyées.</p> -<div class="note"><strong>Note : </strong><a href="https://tools.ietf.org/html/rfc7540#section-8.1.2.2">Les champs d'en-tête spécifiques à la connexion (tels que <code>Connection</code>) ne doivent pas être utilisés avec HTTP/2.</a></div> +<div class="note"> + <p><strong>Note :</strong><a href="https://tools.ietf.org/html/rfc7540#section-8.1.2.2">Les champs d'en-tête spécifiques à la connexion (tels que <code>Connection</code>) ne doivent pas être utilisés avec HTTP/2.</a></p> +</div> <p>Except for the standard hop-by-hop headers ({{HTTPHeader("Keep-Alive")}}, {{HTTPHeader("Transfer-Encoding")}}, {{HTTPHeader("TE")}}, {{HTTPHeader("Connection")}}, {{HTTPHeader("Trailer")}}, {{HTTPHeader("Upgrade")}}, {{HTTPHeader("Proxy-Authorization")}} and {{HTTPHeader("Proxy-Authenticate")}}), any hop-by-hop headers used by the message must be listed in the <code>Connection</code> header, so that the first proxy knows it has to consume them and not forward them further. Standard hop-by-hop headers can be listed too (it is often the case of {{HTTPHeader("Keep-Alive")}}, but this is not mandatory).</p> diff --git a/files/fr/web/http/headers/content-disposition/index.html b/files/fr/web/http/headers/content-disposition/index.html index f0d79129f3..1dffadd807 100644 --- a/files/fr/web/http/headers/content-disposition/index.html +++ b/files/fr/web/http/headers/content-disposition/index.html @@ -13,7 +13,7 @@ translation_of: Web/HTTP/Headers/Content-Disposition <p>Dans un corps <code>multipart / form-data</code>, l'en-tête général HTTP Content-Disposition est un en-tête qui peut être utilisé sur la sous-partie d'un corps multipart pour donner des informations sur le champ auquel il s'applique. La sous-partie est délimitée par la limite <code>boundary</code> définie dans l'en-tête {{HTTPHeader ("Content-Type")}}. Utilisé sur le corps même, <code>Content-Disposition </code>n'a aucun effet.</p> -<p dir="ltr" id="tw-target-text">L'en-tête <code>Content-Disposition</code> est défini dans le contexte plus large des messages MIME pour le courrier électronique, mais seul un sous-ensemble des paramètres possibles s'applique aux formulaires HTTP et {{HTTPMethod ("POST")}}. Seules les données de forme de valeur, ainsi que le nom de la directive optionnelle et le nom de fichier, peuvent être utilisés dans le contexte HTTP.</p> +<p>L'en-tête <code>Content-Disposition</code> est défini dans le contexte plus large des messages MIME pour le courrier électronique, mais seul un sous-ensemble des paramètres possibles s'applique aux formulaires HTTP et {{HTTPMethod ("POST")}}. Seules les données de forme de valeur, ainsi que le nom de la directive optionnelle et le nom de fichier, peuvent être utilisés dans le contexte HTTP.</p> <table class="properties"> <tbody> @@ -41,40 +41,40 @@ translation_of: Web/HTTP/Headers/Content-Disposition <h3 id="En_tant_quentête_de_réponse_pour_le_corps_principal">En tant qu'entête de réponse pour le corps principal </h3> -<p dir="ltr" id="tw-target-text">Le premier paramètre dans le contexte HTTP est en ligne (valeur par défaut, indiquant qu'il peut être affiché à l'intérieur de la page Web ou en tant que page Web) ou pièce jointe (en indiquant qu'il devrait être téléchargé), la plupart des navigateurs présentant une boîte de dialogue "Enregistrer sous" Avec la valeur des paramètres du nom de<br> +<p>Le premier paramètre dans le contexte HTTP est en ligne (valeur par défaut, indiquant qu'il peut être affiché à l'intérieur de la page Web ou en tant que page Web) ou pièce jointe (en indiquant qu'il devrait être téléchargé), la plupart des navigateurs présentant une boîte de dialogue "Enregistrer sous" Avec la valeur des paramètres du nom de<br> fichier si présent.</p> -<pre class="syntaxbox notranslate">Content-Disposition: inline +<pre class="syntaxbox">Content-Disposition: inline Content-Disposition: attachment Content-Disposition: attachment; filename="filename.jpg"</pre> <h3 id="En_tant_quen-tête_pour_un_corps_à_plusieurs_parties">En tant qu'en-tête pour un corps à plusieurs parties </h3> -<p dir="ltr" id="tw-target-text">Le premier paramètre dans le contexte HTTP est toujours une donnée de forme. Les paramètres supplémentaires sont insensibles à la casse et ont des arguments, qui utilisent la syntaxe de chaîne cité après le signe '='. Les paramètres multiples sont<br> +<p>Le premier paramètre dans le contexte HTTP est toujours une donnée de forme. Les paramètres supplémentaires sont insensibles à la casse et ont des arguments, qui utilisent la syntaxe de chaîne cité après le signe '='. Les paramètres multiples sont<br> séparés par un point-virgule (';').</p> -<pre class="notranslate">Content-Disposition: form-data Content-Disposition: form-data; +<pre>Content-Disposition: form-data Content-Disposition: form-data; name="fieldName" Content-Disposition: form-data; name="fieldName"; filename="filename.jpg"</pre> -<h2 dir="ltr" id="Directives">Directives</h2> +<h2 id="Directives">Directives</h2> -<p dir="ltr"><code><name></code><br> +<p><code><name></code><br> Est suivie d'une chaîne contenant le nom du champ HTML dans la forme dont le contenu de cette sous-partie se réfère. Lorsqu'il s'agit de plusieurs fichiers dans le même champ (par exemple, l'attribut {{htmlattrxref("multiple", "input")}} d'un {{HTMLElement("input","<input type=file>")}} element), il peut y avoir plusieurs sous-parties portant le même nom.</p> -<p dir="ltr">Un <code>name</code> avec une valeur de <code>'_charset_'</code> indique que la partie n'est pas un champ HTML, mais le jeu de caractères par défaut à utiliser pour les pièces sans informations de charset explicites.</p> +<p>Un <code>name</code> avec une valeur de <code>'_charset_'</code> indique que la partie n'est pas un champ HTML, mais le jeu de caractères par défaut à utiliser pour les pièces sans informations de charset explicites.</p> -<p dir="ltr"><code><filename></code><br> +<p><code><filename></code><br> Est suivi d'une chaîne contenant le nom d'origine du fichier transmis. Le nom de fichier est toujours facultatif et ne doit pas être utilisé aveuglément par l'application: l'information du chemin doit être rayée et la conversion aux règles du système de fichiers du serveur doit être effectuée. Ce paramètre fournit principalement des informations indicatives. Lorsqu'il est utilisé en combinaison avec <code>Content-Disposition: attachement</code>, il est utilisé comme nom de fichier par défaut pour une éventuelle boîte de dialogue "Enregistrer sous" présentée à l'utilisateur.</p> -<p dir="ltr"><code><filename*></code><br> +<p><code><filename*></code><br> Les paramètres <code>filename</code> et <code>filename*</code> diffèrent uniquement en ce que <code>filename*</code> utilise l'encodage défini dans la RFC 5987. Lorsque <code>filename</code> et <code>filename*</code> sont présents dans une seule valeur de champ d'en-tête, <code>filename*</code> est préféré à <code>filename</code> lorsque les deux sont présents et compris.</p> <h2 id="Exemples">Exemples</h2> <p>Une réponse déclanchant le dialogue "Enregistrer sous":</p> -<pre class="brush: html notranslate">200 OK +<pre class="brush: html">200 OK Content-Type: text/html; charset=utf-8 Content-Disposition: attachment; filename="cool.html" Content-Length: 22 @@ -86,7 +86,7 @@ Content-Length: 22 <p>Un exemple de formulaire HTML, publié à l'aide du format <code>multipart / form-data</code> qui utilise l'en-tête <code>Content-Disposition</code>:</p> -<pre class="notranslate">POST /test.html HTTP/1.1 +<pre>POST /test.html HTTP/1.1 Host: example.org Content-Type: multipart/form-data;boundary="boundary" diff --git a/files/fr/web/http/headers/content-encoding/index.html b/files/fr/web/http/headers/content-encoding/index.html index 710f2b96d4..3d52ddfac5 100644 --- a/files/fr/web/http/headers/content-encoding/index.html +++ b/files/fr/web/http/headers/content-encoding/index.html @@ -28,7 +28,7 @@ translation_of: Web/HTTP/Headers/Content-Encoding <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Encoding: gzip +<pre class="syntaxbox">Content-Encoding: gzip Content-Encoding: compress Content-Encoding: deflate Content-Encoding: identity @@ -60,11 +60,11 @@ Content-Encoding: deflate, gzip <p>Côté client, on peut fournir la liste des mécanismes de compression pris en charge en envoyant l'en-tête {{HTTPHeader("Accept-Encoding")}} lors de la négociation de l'encodage.</p> -<pre class="notranslate">Accept-Encoding: gzip, deflate</pre> +<pre>Accept-Encoding: gzip, deflate</pre> <p>Le serveur répondra avec le schéma utilisé avec l'en-tête de réponse <code>Content-Encoding</code>.</p> -<pre class="notranslate">Content-Encoding: gzip</pre> +<pre>Content-Encoding: gzip</pre> <p>À noter que le serveur n'est pas obligé d'utiliser de méthode de compression. La compression dépend fortement des paramètres du serveur et des modules de serveur utilisés.</p> diff --git a/files/fr/web/http/headers/content-language/index.html b/files/fr/web/http/headers/content-language/index.html index a31053cc56..002c307908 100644 --- a/files/fr/web/http/headers/content-language/index.html +++ b/files/fr/web/http/headers/content-language/index.html @@ -40,7 +40,7 @@ translation_of: Web/HTTP/Headers/Content-Language <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Language: de-DE +<pre class="syntaxbox">Content-Language: de-DE Content-Language: en-US Content-Language: de-DE, en-CA </pre> @@ -53,7 +53,7 @@ Content-Language: de-DE, en-CA </dl> <div class="note"> -<p><strong>Note:</strong> Les tags de langues sont formellement définis dans la RFC 5646, qui repose sur la norme ISO 639 (très souvent la liste de codes ISO 639-1) pour les codes de langue à utiliser.</p> +<p><strong>Note :</strong> Les tags de langues sont formellement définis dans la RFC 5646, qui repose sur la norme ISO 639 (très souvent la liste de codes ISO 639-1) pour les codes de langue à utiliser.</p> </div> <h2 id="Exemples">Exemples</h2> @@ -62,18 +62,18 @@ Content-Language: de-DE, en-CA <p>L'attribut global <code><a href="/fr/docs/Web/HTML/Global_attributes/lang">lang</a></code> est utilisé sur des éléments HTML pour indiquer la langue d'une page HTML entière ou une partie de celle-ci.</p> -<pre class="brush: html notranslate"><html lang="de"></pre> +<pre class="brush: html"><html lang="de"></pre> <p><strong>N'utilisez pas</strong> le meta tag comme ceci pour déclarer la langue d'un document:</p> -<pre class="brush: html example-bad notranslate"><!-- /!\ C'est une mauvaise pratique --> +<pre class="brush: html example-bad"><!-- /!\ C'est une mauvaise pratique --> <meta http-equiv="content-language" content="de"></pre> <h3 id="Indiquer_un_public_cible_pour_une_ressource">Indiquer un public cible pour une ressource</h3> <p>L'en-tête <code>Content-Language</code> est utilisé pour spécifier le public destiné à la page, et peut indiquer si cela est plus qu'une seule langue.</p> -<pre class="notranslate">Content-Language: de, en</pre> +<pre>Content-Language: de, en</pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy-report-only/index.html b/files/fr/web/http/headers/content-security-policy-report-only/index.html index 63116cb71a..7524dab5f1 100644 --- a/files/fr/web/http/headers/content-security-policy-report-only/index.html +++ b/files/fr/web/http/headers/content-security-policy-report-only/index.html @@ -36,7 +36,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy-Report-Only <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Security-Policy-Report-Only: <policy-directive>; <policy-directive> +<pre class="syntaxbox">Content-Security-Policy-Report-Only: <policy-directive>; <policy-directive> </pre> <h2 id="Directives">Directives</h2> @@ -49,11 +49,11 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy-Report-Only <p>Cet en-tête rapporte les violations qui seront constatées. Vous pouvez l'utiliser pour améliorer vos CSP. Vous pouvez observer comment votre site fonctionne en consultant les rapports ou <a href="https://secure.wphackedhelp.com/blog/wordpress-malware-redirect-hack-cleanup/">redirections malicieuses</a>, puis choisir les règles voulues pour bloquer le contenu avec l'en-tête {{HTTPHeader("Content-Security-Policy")}}.</p> -<pre class="notranslate">Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/</pre> +<pre>Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/</pre> <p>Si vous voulez toujours recevoir des rapports, mais aussi imposer des règles, utilisez l'en-tête {{HTTPHeader("Content-Security-Policy")}} avec la directive {{CSP("report-uri")}}.</p> -<pre class="notranslate">Content-Security-Policy: default-src https:; report-uri /csp-violation-report-endpoint/</pre> +<pre>Content-Security-Policy: default-src https:; report-uri /csp-violation-report-endpoint/</pre> <h2 id="Syntaxe_dun_rapport_de_violation">Syntaxe d'un rapport de violation</h2> @@ -85,12 +85,12 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy-Report-Only <div>Considérons une page à l'adresse <code>http://example.com/signup.html</code>. Elle utilise la règle CSP suivante, interdisant tout excepté les feuilles de styles chargées depuis <code>cdn.example.com</code>.</div> <div> -<pre class="notranslate">Content-Security-Policy-Report-Only: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports</pre> +<pre>Content-Security-Policy-Report-Only: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports</pre> </div> <div>La page HTML correspondant à l'adresse <code>signup.html</code> ressemble à :</div> -<pre class="brush: html notranslate"><!DOCTYPE html> +<pre class="brush: html"><!DOCTYPE html> <html> <head> <title>Sign Up</title> @@ -105,7 +105,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy-Report-Only <div>Les feuilles de styles ne sont acceptées que si elles sont chargées depuis <code>cdn.example.com</code>, et pourtant le site tente d'en charger une depuis sa propre origine (<code>http://example.com</code>). Un navigateur capable d'imposer des règles CSP enverra le rapport de violation suivant sous la forme d'une requête POST à l'adresse <code>http://example.com/_/csp-reports</code> quand la page sera visitée :</div> -<pre class="brush: js notranslate">{ +<pre class="brush: js">{ "csp-report": { "document-uri": "http://example.com/signup.html", "referrer": "", diff --git a/files/fr/web/http/headers/content-security-policy/base-uri/index.html b/files/fr/web/http/headers/content-security-policy/base-uri/index.html index 018167226e..714cfb2f7b 100644 --- a/files/fr/web/http/headers/content-security-policy/base-uri/index.html +++ b/files/fr/web/http/headers/content-security-policy/base-uri/index.html @@ -37,7 +37,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/base-uri <p>Une ou plusieurs <em>sources</em> peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: base-uri <source>; +<pre class="syntaxbox">Content-Security-Policy: base-uri <source>; Content-Security-Policy: base-uri <source> <source>; </pre> @@ -51,23 +51,23 @@ Content-Security-Policy: base-uri <source> <source>; <h3 id="Configuration_par_balise_<meta>">Configuration par balise <meta></h3> -<pre class="brush: html notranslate"><meta http-equiv="Content-Security-Policy" content="base-uri 'self'"></pre> +<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="base-uri 'self'"></pre> <h3 id="Configuration_par_Apache">Configuration par Apache</h3> -<pre class="brush: bash notranslate"><IfModule mod_headers.c> +<pre class="brush: bash"><IfModule mod_headers.c> Header set Content-Security-Policy "base-uri 'self'"; </IfModule></pre> <h3 id="Configuration_par_Nginx">Configuration par Nginx</h3> -<pre class="brush: bash notranslate">add_header Content-Security-Policy "base-uri 'self';"</pre> +<pre class="brush: bash">add_header Content-Security-Policy "base-uri 'self';"</pre> <h3 id="Cas_de_violation">Cas de violation</h3> <p>À partir du moment où votre domaine n'est pas <code>example.com</code>, un élément {{HTMLElement("base")}} avec son attribut <code>href</code> défini à <code>https://example.com</code> résultera en une violation de CSP.</p> -<pre class="brush: html; example-bad notranslate"><meta http-equiv="Content-Security-Policy" content="base-uri 'self'"> +<pre class="brush: html; example-bad"><meta http-equiv="Content-Security-Policy" content="base-uri 'self'"> <base href="https://example.com/"> // Error: Refused to set the document's base URI to 'https://example.com/' diff --git a/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.html b/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.html index 1d5670728a..92897ebaf9 100644 --- a/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.html +++ b/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.html @@ -15,28 +15,28 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/block-all-mixed-content --- <div>{{HTTPSidebar}}</div> -<p><span class="seoSummary">La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>block-all-mixed-content</strong></code> bloque le chargement de ressources via HTTP lorsque la page utilise HTTPS.</span></p> +<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>block-all-mixed-content</strong></code> bloque le chargement de ressources via HTTP lorsque la page utilise HTTPS.</p> <p>Toutes les requêtes vers des <a href="/fr/docs/Sécurité/MixedContent">contenus mixtes</a> sont alors bloquées, y compris les ressources actives et passives. Cela s'applique aussi aux documents {{HTMLElement("iframe")}}, assurant que la page est complètement protégée contre les contenus mixtes.</p> -<div class="blockIndicator note"> -<p>Note : La directive {{CSP("upgrade-insecure-requests")}} est évaluée avant <code>block-all-mixed-content</code>. Si elle est définie, alors <code>block-all-mixed-content</code> n'est pas nécessaire, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.</p> +<div class="note"> +<p><strong>Note :</strong> La directive {{CSP("upgrade-insecure-requests")}} est évaluée avant <code>block-all-mixed-content</code>. Si elle est définie, alors <code>block-all-mixed-content</code> n'est pas nécessaire, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.</p> </div> <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Security-Policy: block-all-mixed-content;</pre> +<pre class="syntaxbox">Content-Security-Policy: block-all-mixed-content;</pre> <h2 id="Exemples">Exemples</h2> -<pre class="notranslate">Content-Security-Policy: block-all-mixed-content; +<pre>Content-Security-Policy: block-all-mixed-content; <meta http-equiv="Content-Security-Policy" content="block-all-mixed-content"> </pre> <p>Pour interdire l'usage de HTTP de manière plus fine, vous pouvez aussi configurer individuellement chaque directive sur <code>https:</code>. Par exemple, pour interdire les images HTTP non sécurisées :</p> -<pre class="notranslate">Content-Security-Policy: img-src https:</pre> +<pre>Content-Security-Policy: img-src https:</pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/child-src/index.html b/files/fr/web/http/headers/content-security-policy/child-src/index.html index 09f25eb420..8cf2d1ab7a 100644 --- a/files/fr/web/http/headers/content-security-policy/child-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/child-src/index.html @@ -39,7 +39,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/child-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: child-src <source>; +<pre class="syntaxbox">Content-Security-Policy: child-src <source>; Content-Security-Policy: child-src <source> <source>; </pre> @@ -53,11 +53,11 @@ Content-Security-Policy: child-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: child-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: child-src https://example.com/</pre> <p>Cet {{HTMLElement("iframe")}} et ce worker seront bloqués et ne se chargeront pas :</p> -<pre class="brush: html notranslate"><iframe src="https://not-example.com"></iframe> +<pre class="brush: html"><iframe src="https://not-example.com"></iframe> <script> var blockedWorker = new Worker("data:application/javascript,..."); diff --git a/files/fr/web/http/headers/content-security-policy/connect-src/index.html b/files/fr/web/http/headers/content-security-policy/connect-src/index.html index 9914f70cf4..845f46f7b0 100644 --- a/files/fr/web/http/headers/content-security-policy/connect-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/connect-src/index.html @@ -27,7 +27,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/connect-src </ul> <div class="note"> -<p><strong>Note:</strong> <code>connect-src 'self'</code> ne s'applique pas aux schémas de websocket pour tous les navigateurs. Pour plus d'informations, consulter : <a href="https://github.com/w3c/webappsec-csp/issues/7">https://github.com/w3c/webappsec-csp/issues/7</a>.</p> +<p><strong>Note :</strong> <code>connect-src 'self'</code> ne s'applique pas aux schémas de websocket pour tous les navigateurs. Pour plus d'informations, consulter : <a href="https://github.com/w3c/webappsec-csp/issues/7">https://github.com/w3c/webappsec-csp/issues/7</a>.</p> </div> <table class="properties"> @@ -51,7 +51,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/connect-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: connect-src <source>; +<pre class="syntaxbox">Content-Security-Policy: connect-src <source>; Content-Security-Policy: connect-src <source> <source>; </pre> @@ -65,11 +65,11 @@ Content-Security-Policy: connect-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: connect-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: connect-src https://example.com/</pre> <p>Les connexions suivantes seront bloquées et ne se chargeront pas :</p> -<pre class="brush: html notranslate"><a ping="https://not-example.com"> +<pre class="brush: html"><a ping="https://not-example.com"> <script> var xhr = new XMLHttpRequest(); diff --git a/files/fr/web/http/headers/content-security-policy/default-src/index.html b/files/fr/web/http/headers/content-security-policy/default-src/index.html index 4111dc6de1..9f2d9d6cb8 100644 --- a/files/fr/web/http/headers/content-security-policy/default-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/default-src/index.html @@ -16,7 +16,9 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/default-src --- <div>{{HTTPSidebar}}</div> -<p><span class="seoSummary">La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>default-src</code></strong> sert de valeur par défaut pour les autres directives CSP {{Glossary("fetch directive", "fetch directives")}}.</span> Pour chacune des directives suivantes, l'agent utilisateur consultera la directive <code>default-src</code> et utilisera sa valeur pour la directive demandée si celle-ci est absente :</p> +<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>default-src</code></strong> sert de valeur par défaut pour les autres directives CSP {{Glossary("fetch directive", "fetch directives")}}.</p> + +<p>Pour chacune des directives suivantes, l'agent utilisateur consultera la directive <code>default-src</code> et utilisera sa valeur pour la directive demandée si celle-ci est absente :</p> <ul> <li>{{CSP("child-src")}}</li> @@ -54,13 +56,12 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/default-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: default-src <source>; +<pre class="syntaxbox">Content-Security-Policy: default-src <source>; Content-Security-Policy: default-src <source> <source>; </pre> <h3 id="Sources">Sources</h3> -<div id="common_sources"> <p>La <source> peut être une des suivantes :</p> <dl> @@ -87,7 +88,7 @@ Content-Security-Policy: default-src <source> <source>; <dd>Cette valeur fait référence au domaine dont est originaire le document protégé, y compris le protocole et le numéro de port. Vous devez mettre cette valeur entre guillemets. Certains navigateurs excluent spécifiquement les valeurs <code>blob</code> et <code>filesystem</code> des directives de source. Les sites nécessitant une permission pour ces types de contenu peuvent les spécifier en utilisant l'attribut Data.</dd> <dt><code>'unsafe-eval'</code></dt> <dd>Permet l'usage de la fonction <code>eval()</code> et de méthodes similaires pour créer du code à partir de chaines de caractères. Vous devez mettre cette valeur entre guillemets.</dd> - <dt id="unsafe-hashes"><code>'unsafe-hashes'</code></dt> + <dt><code>'unsafe-hashes'</code></dt> <dd>Permet l'usage de certains <a href="/en-US/docs/Web/Guide/Events/Event_handlers">écouteurs d'évènements</a> par attributs. Si vous n'avez besoin que d'écouteurs d'évènements par attributs et non d'éléments {{HTMLElement("script")}} embarqués ou d'URL <code>javascript:</code>, cette valeur est plus sécurisée que <code>unsafe-inline</code>.</dd> <dt><code>'unsafe-inline'</code></dt> <dd>Permet l'usage de ressources embarquées, tels que des éléments {{HTMLElement("script")}} (sans <code>src</code>), d'URL <code>javascript:</code>, de gestionnaire d'évènement par attributs (<code>on<eventName></code>), et d'éléments {{HTMLElement("style")}}. Vous devez mettre cette valeur entre guillemets.</dd> @@ -97,22 +98,12 @@ Content-Security-Policy: default-src <source> <source>; <dd>Une liste de permissions pour des scripts embarqués spécifiques en utilisant un nonce (<em>number used once</em>, nombre à usage unique) cryptographique. Le serveur doit générer un nonce à chaque fois qu'il transmet une réponse. Il est extrèmement important de fournir des nonces non prédictibles, puisque le contraire permettrait aisément de contourner la stratégie de sécurité. Voir <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#Unsafe_inline_script">inline script non fiables</a> pour avoir un exemple. Spécifier un nonce implique que les navigateurs modernes ignoreront la valeur <code>'unsafe-inline'</code>, qui peut toutefois être laissée pour les anciens navigateurs ne supportant pas les nonces.</dd> <dt>'<hash-algorithm>-<base64-value>'</dt> <dd>Un hash sha256, sha384 ou sha512 d'un <code><script></code> ou d'un <code><style></code>. Cette source est composée de deux parties séparées par un tiret : le nom de l'algorithme de chiffrage utilisé pour générer le hash à gauche et le hash encodé en base 64 à droite. Lors de la génération du hash, il ne faut pas inclure les balises <code><script></code> or <code><style></code> et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.). Voir <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#Unsafe_inline_script">inline script non fiables</a> pour en avoir un exemple. En CSP 2.0, cette valeur ne s'applique qu'aux scripts embarqués. CSP 3.0 le permet aussi dans le cas de scripts externes.</dd> -</dl> -</div> - -<div id="strict-dynamic"> -<dl> <dt>'strict-dynamic'</dt> <dd>La valeur <code>strict-dynamic</code> spécifie que la confiance explicitement donnée à un script de la page, par le biais d'un nonce ou d'un hash, doit être propagée à tous les scripts chargés par celui-ci. En conséquence, toute les valeurs telles que <code>'self'</code> ou <code>'unsafe-inline'</code> et listes de permissions sont ignorées. Voir <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#strict-dynamic">script-src</a> pour en avoir un exemple.</dd> -</dl> -</div> - -<div id="report-sample"> -<dl> <dt>'report-sample'</dt> <dd>Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé.</dd> </dl> -</div> + <h2 id="Exemples">Exemples</h2> @@ -120,11 +111,11 @@ Content-Security-Policy: default-src <source> <source>; <p>S'il y a d'autres directives spécifiées, <code>default-src</code> ne les affecte pas. Soit l'en-tête suivant :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: default-src 'self'; script-src https://example.com</pre> +<pre class="brush: bash">Content-Security-Policy: default-src 'self'; script-src https://example.com</pre> <p>Est identique à :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: connect-src 'self'; +<pre class="brush: bash">Content-Security-Policy: connect-src 'self'; font-src 'self'; frame-src 'self'; img-src 'self'; diff --git a/files/fr/web/http/headers/content-security-policy/font-src/index.html b/files/fr/web/http/headers/content-security-policy/font-src/index.html index 9e50fb7307..d5f2317624 100644 --- a/files/fr/web/http/headers/content-security-policy/font-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/font-src/index.html @@ -38,7 +38,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/font-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: font-src <source>; +<pre class="syntaxbox">Content-Security-Policy: font-src <source>; Content-Security-Policy: font-src <source> <source>; </pre> @@ -52,11 +52,11 @@ Content-Security-Policy: font-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: font-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: font-src https://example.com/</pre> <p>Cette définition de police sera bloquée et ne se chargera pas :</p> -<pre class="brush: html notranslate"><style> +<pre class="brush: html"><style> @font-face { font-family: "MyFont"; src: url("https://not-example.com/font"); diff --git a/files/fr/web/http/headers/content-security-policy/form-action/index.html b/files/fr/web/http/headers/content-security-policy/form-action/index.html index cd09bd3cbc..fee4d1839f 100644 --- a/files/fr/web/http/headers/content-security-policy/form-action/index.html +++ b/files/fr/web/http/headers/content-security-policy/form-action/index.html @@ -17,7 +17,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/form-action <p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>form</strong></code><strong><code>-action</code></strong> restreint les URL pouvant être utilisées comme cibles de soumissions de formulaires depuis un contexte donné.</p> <div class="warning"> -<p>La question de savoir si <code>form-action</code> doit bloquer les redirections après une soumission de formulaire est encore <a href="https://github.com/w3c/webappsec-csp/issues/8">débattue</a> et les implantations des navigateurs sur cet aspect sont incohérentes (par exemple Firefox 57 ne les bloque pas, contrairement à Chrome 63).</p> +<p><strong>Attention :</strong> La question de savoir si <code>form-action</code> doit bloquer les redirections après une soumission de formulaire est encore <a href="https://github.com/w3c/webappsec-csp/issues/8">débattue</a> et les implantations des navigateurs sur cet aspect sont incohérentes (par exemple Firefox 57 ne les bloque pas, contrairement à Chrome 63).</p> </div> <table class="properties"> @@ -41,7 +41,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/form-action <p>Une ou plusieurs sources peuvent être utilisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: form-action <source>; +<pre class="syntaxbox">Content-Security-Policy: form-action <source>; Content-Security-Policy: form-action <source> <source>; </pre> @@ -53,23 +53,23 @@ Content-Security-Policy: form-action <source> <source>; <h3 id="Configuration_par_balise_<meta>">Configuration par balise <meta></h3> -<pre class="brush: html notranslate"><meta http-equiv="Content-Security-Policy" content="form-action 'none'"></pre> +<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="form-action 'none'"></pre> <h3 id="Configuration_par_Apache">Configuration par Apache</h3> -<pre class="brush: bash notranslate"><IfModule mod_headers.c> +<pre class="brush: bash"><IfModule mod_headers.c> Header set Content-Security-Policy "form-action 'none';" </IfModule></pre> <h3 id="Configuration_par_Nginx">Configuration par Nginx</h3> -<pre class="brush: bash notranslate">add_header Content-Security-Policy "form-action 'none';"</pre> +<pre class="brush: bash">add_header Content-Security-Policy "form-action 'none';"</pre> <h3 id="Cas_de_violation">Cas de violation</h3> <p>Utiliser un élément {{HTMLElement("form")}} avec un attribut <code>action</code> défini à un script embarqué JavaScript résultera en une violation de CSP :</p> -<pre class="brush: html; example-bad notranslate"><meta http-equiv="Content-Security-Policy" content="form-action 'none'"> +<pre class="brush: html; example-bad"><meta http-equiv="Content-Security-Policy" content="form-action 'none'"> <form action="javascript:alert('Foo')" id="form1" method="post"> <input type="text" name="fieldName" value="fieldValue"> diff --git a/files/fr/web/http/headers/content-security-policy/frame-ancestors/index.html b/files/fr/web/http/headers/content-security-policy/frame-ancestors/index.html index c512933db4..756e247616 100644 --- a/files/fr/web/http/headers/content-security-policy/frame-ancestors/index.html +++ b/files/fr/web/http/headers/content-security-policy/frame-ancestors/index.html @@ -43,7 +43,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/frame-ancestors <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: frame-ancestors <source>; +<pre class="syntaxbox">Content-Security-Policy: frame-ancestors <source>; Content-Security-Policy: frame-ancestors <source> <source>; </pre> @@ -52,7 +52,7 @@ Content-Security-Policy: frame-ancestors <source> <source>; <p>La <source> peut être une des suivantes :</p> <div class="note"> -<p>The <code>frame-ancestors</code> directive’s syntax is similar to a source list of other directives (e.g. {{CSP("default-src")}}), but doesn't allow <code>'unsafe-eval'</code> or <code>'unsafe-inline'</code> for example. It will also not fall back to a <code>default-src</code> setting. Only the sources listed below are allowed:</p> +<p><strong>Note :</strong> The <code>frame-ancestors</code> directive’s syntax is similar to a source list of other directives (e.g. {{CSP("default-src")}}), but doesn't allow <code>'unsafe-eval'</code> or <code>'unsafe-inline'</code> for example. It will also not fall back to a <code>default-src</code> setting. Only the sources listed below are allowed:</p> </div> <dl> @@ -65,8 +65,8 @@ Content-Security-Policy: frame-ancestors <source> <source>; <li><code>https://store.example.com</code>: correspondra à toutes les tentatives d'accès à store.example.com via le protocole <code>https:</code>.</li> </ul> - <div class="blockIndicator warning"> - <p>Si aucun schéma d'URL n'est spécifié comme <code>host-source</code> et que l'{{HTMLElement("iframe")}} est chargée via une URL <code>https:</code>, la page chargeant l'iframe doit aussi être chargée en <code>https:</code>, selon la spécification du W3C sur <a href="https://w3c.github.io/webappsec-csp/2/#match-source-expression">les correspondances de valeurs de sources</a>.</p> + <div class="warning"> + <p><strong>Attention :</strong> Si aucun schéma d'URL n'est spécifié comme <code>host-source</code> et que l'{{HTMLElement("iframe")}} est chargée via une URL <code>https:</code>, la page chargeant l'iframe doit aussi être chargée en <code>https:</code>, selon la spécification du W3C sur <a href="https://w3c.github.io/webappsec-csp/2/#match-source-expression">les correspondances de valeurs de sources</a>.</p> </div> </dd> <dt><scheme-source></dt> @@ -86,7 +86,7 @@ Content-Security-Policy: frame-ancestors <source> <source>; <h2 id="Exemples">Exemples</h2> -<pre class="brush: bash notranslate">Content-Security-Policy: frame-ancestors 'none'; +<pre class="brush: bash">Content-Security-Policy: frame-ancestors 'none'; Content-Security-Policy: frame-ancestors 'self' https://www.example.org;</pre> diff --git a/files/fr/web/http/headers/content-security-policy/frame-src/index.html b/files/fr/web/http/headers/content-security-policy/frame-src/index.html index 34aa799481..e5d7566d81 100644 --- a/files/fr/web/http/headers/content-security-policy/frame-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/frame-src/index.html @@ -39,7 +39,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/frame-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: frame-src <source>; +<pre class="syntaxbox">Content-Security-Policy: frame-src <source>; Content-Security-Policy: frame-src <source> <source>; </pre> @@ -53,11 +53,11 @@ Content-Security-Policy: frame-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: frame-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: frame-src https://example.com/</pre> <p>Cet élément {{HTMLElement("iframe")}} est bloqué et ne se chargera pas :</p> -<pre class="brush: html notranslate"><iframe src="https://not-example.com/"></iframe></pre> +<pre class="brush: html"><iframe src="https://not-example.com/"></iframe></pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/img-src/index.html b/files/fr/web/http/headers/content-security-policy/img-src/index.html index d398bf7930..cbaf0a5798 100644 --- a/files/fr/web/http/headers/content-security-policy/img-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/img-src/index.html @@ -16,7 +16,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/img-src --- <div>{{HTTPSidebar}}</div> -<p><span class="seoSummary">La directive HTTP {{HTTPHeader("Content-Security-Policy")}} <code><strong>img-src</strong></code> sépcifie les sources valides d'images et de favicons.</span></p> +<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} <code><strong>img-src</strong></code> sépcifie les sources valides d'images et de favicons.</p> <table class="properties"> <tbody> @@ -39,7 +39,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/img-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: img-src <source>; +<pre class="syntaxbox">Content-Security-Policy: img-src <source>; Content-Security-Policy: img-src <source> <source>; </pre> @@ -53,11 +53,11 @@ Content-Security-Policy: img-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: img-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: img-src https://example.com/</pre> <p>Cet élément {{HTMLElement("img")}} est bloqué et ne se chargera pas :</p> -<pre class="brush: html notranslate"><img src="https://not-example.com/foo.jpg" alt="example picture"></pre> +<pre class="brush: html"><img src="https://not-example.com/foo.jpg" alt="example picture"></pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/index.html b/files/fr/web/http/headers/content-security-policy/index.html index 4ffcff7b78..2cd4912372 100644 --- a/files/fr/web/http/headers/content-security-policy/index.html +++ b/files/fr/web/http/headers/content-security-policy/index.html @@ -30,7 +30,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Security-Policy: <policy-directive>; <policy-directive> +<pre class="syntaxbox">Content-Security-Policy: <policy-directive>; <policy-directive> </pre> <h2 id="Directives">Directives</h2> @@ -44,7 +44,9 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy <dd>Définit les sources valides pour les <a href="/fr/docs/Web/API/Web_Workers_API">web workers</a> et les éléments qui représentent des contextes de navigation imbriqués tels que {{HTMLElement("frame")}} et {{HTMLElement("iframe")}}.</dd> </dl> -<div class="blockIndicator warning">Plutôt que la directive <strong><code>child-src</code></strong>, si vous souhaitez réguler les contextes de navigation imbriqués et les workers séparément, vous pouvez utiliser respectivement les directives {{CSP("frame-src")}} et {{CSP("worker-src")}}.</div> +<div class="warning"> + <p><strong>Attention :</strong>Plutôt que la directive <strong><code>child-src</code></strong>, si vous souhaitez réguler les contextes de navigation imbriqués et les workers séparément, vous pouvez utiliser respectivement les directives {{CSP("frame-src")}} et {{CSP("worker-src")}}.</p> +</div> <dl> <dt>{{CSP("connect-src")}}</dt> @@ -65,8 +67,8 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy <dd>Définit les sources valides pour les ressources des éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}}.</dd> </dl> -<div class="blockIndicator note"> -<p>Les éléments contrôlés pa ar <code>object-src</code> sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité <code>sandbox</code> et <code>allow</code> pour <code><iframe></code>). De ce fait, il est <strong>recommandé</strong> de restreindre cette directive, c'est-à-dire la définir explicitement à <code>object-src 'none'</code> dans la mesure du possible.</p> +<div class="note"> +<p><strong>Note :</strong> Les éléments contrôlés pa ar <code>object-src</code> sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité <code>sandbox</code> et <code>allow</code> pour <code><iframe></code>). De ce fait, il est <strong>recommandé</strong> de restreindre cette directive, c'est-à-dire la définir explicitement à <code>object-src 'none'</code> dans la mesure du possible.</p> </div> <dl> @@ -124,9 +126,9 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy </dl> <div class="warning"> -<p>Bien que la directive <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a> est prévue remplacer la directive <code><strong>report-uri</strong></code> maintenant dépréciée, <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a> n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a>, vous pouvez spécifier les deux directives <code><strong>report-uri</strong></code> et <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a>:</p> +<p><strong>Attention :</strong> Bien que la directive <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a> est prévue remplacer la directive <code><strong>report-uri</strong></code> maintenant dépréciée, <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a> n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a>, vous pouvez spécifier les deux directives <code><strong>report-uri</strong></code> et <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a>:</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname</pre> +<pre class="syntaxbox">Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname</pre> <p>Dans les navigateurs qui supportent <a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/report-to" title="La directive HTTP Content-Security-Policy (CSP) report-to demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP Report-To."><code>report-to</code></a>, la directive <code><strong>report-uri</strong></code> sera ignorée.</p> </div> @@ -163,7 +165,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy <p>L'en-tête <code>Content-Security-Policy</code> peut être utilisé plus d'une fois comme illustré ci-après. On notera la directive {{CSP("connect-src")}} utilisée ici. Bien que la deuxième règle autorise la connexion, la première contient <code>connect-src 'none'</code>. L'ajout de règles supplémentaires permet uniquement d'augmenter les protections. Les niveaux les plus stricts pour chaque règle sont alors utilisés. Dans l'exemple qui suit, cela signifie que la directive <code>connect-src 'none'</code> sera respectée.</p> -<pre class="notranslate">Content-Security-Policy: default-src 'self' http://example.com; +<pre>Content-Security-Policy: default-src 'self' http://example.com; connect-src 'none'; Content-Security-Policy: connect-src http://example.com/; script-src http://example.com/</pre> @@ -174,7 +176,7 @@ Content-Security-Policy: connect-src http://example.com/; <p>Dans cet exemple, on désactive les scripts écrits à même le document (<em>inline</em>), les opérations <code>eval()</code> et les ressources (images, polices, scripts, etc.) peuvent uniquement être chargées via HTTPS :</p> -<pre class="notranslate">// en-tête HTTP +<pre>// en-tête HTTP Content-Security-Policy: default-src https: // version avec la balise HTML meta @@ -185,13 +187,13 @@ Content-Security-Policy: default-src https: <p>Cet exemple est plutôt adapté pour un site historique qui utilise de nombreux scripts écrits dans les documents mais pour lequel on veut s'assurer que les ressources sont chargées via HTTPS et pour lequel on veut désactiver les plugins :</p> -<pre class="notranslate">Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'</pre> +<pre>Content-Security-Policy: default-src https: 'unsafe-eval' 'unsafe-inline'; object-src 'none'</pre> <h3 id="Exemple_3">Exemple 3</h3> <p>On ne met pas en place la règle de sécurité mais on récolte les enfreintes qui se seraient produites pour cette règle :</p> -<pre class="notranslate">Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/</pre> +<pre>Content-Security-Policy-Report-Only: default-src https:; report-uri /csp-violation-report-endpoint/</pre> <p>Pour plus d'exemples, consulter <a href="https://wiki.mozilla.org/Security/Guidelines/Web_Security#Examples_5">les recommandations de Mozilla pour la sécurité web</a>.</p> diff --git a/files/fr/web/http/headers/content-security-policy/manifest-src/index.html b/files/fr/web/http/headers/content-security-policy/manifest-src/index.html index 227cbbd03a..a99cf41e12 100644 --- a/files/fr/web/http/headers/content-security-policy/manifest-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/manifest-src/index.html @@ -39,7 +39,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/manifest-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: manifest-src <source>; +<pre class="syntaxbox">Content-Security-Policy: manifest-src <source>; Content-Security-Policy: manifest-src <source> <source>; </pre> @@ -53,11 +53,11 @@ Content-Security-Policy: manifest-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: manifest-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: manifest-src https://example.com/</pre> <p>Cet élément {{HTMLElement("link")}} sera bloqué et ne se chargera pas :</p> -<pre class="brush: html notranslate"><link rel="manifest" href="https://not-example.com/manifest"></pre> +<pre class="brush: html"><link rel="manifest" href="https://not-example.com/manifest"></pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/media-src/index.html b/files/fr/web/http/headers/content-security-policy/media-src/index.html index ed0bd0f4ab..9efb6aef2d 100644 --- a/files/fr/web/http/headers/content-security-policy/media-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/media-src/index.html @@ -39,7 +39,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/media-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: media-src <source>; +<pre class="syntaxbox">Content-Security-Policy: media-src <source>; Content-Security-Policy: media-src <source> <source>; </pre> @@ -53,11 +53,11 @@ Content-Security-Policy: media-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: media-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: media-src https://example.com/</pre> <p>Ces éléments {{HTMLElement("audio")}}, {{HTMLElement("video")}} et {{HTMLElement("track")}} seront bloqués et ne se chargeront pas :</p> -<pre class="brush: html notranslate"><audio src="https://not-example.com/audio"></audio> +<pre class="brush: html"><audio src="https://not-example.com/audio"></audio> <video src="https://not-example.com/video"> <track kind="subtitles" src="https://not-example.com/subtitles"> diff --git a/files/fr/web/http/headers/content-security-policy/navigate-to/index.html b/files/fr/web/http/headers/content-security-policy/navigate-to/index.html index 79478e5691..2a715438a3 100644 --- a/files/fr/web/http/headers/content-security-policy/navigate-to/index.html +++ b/files/fr/web/http/headers/content-security-policy/navigate-to/index.html @@ -17,7 +17,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/navigate-to <p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>navigate</strong></code><strong><code>-to</code></strong> restreint les URL vers lesquelles un document peut initier une navigation de quelque manière que ce soit, dont {{HTMLElement("form")}} (si {{CSP("form-action")}} n'est pas spécifié), {{HTMLElement("a")}}, {{DOMxRef("window.location")}}, {{DOMxRef("window.open")}}, etc. Elle permet de renforcer les navigations que le document peut initier et <strong>non</strong> les adresses vers lesquelles ce document peut naviguer.</p> -<div class="blockIndicator note"> +<div class="note"> <p><strong>Note :</strong> Si la directive {{CSP("form-action")}} est présente, la directive <code>navigate-to</code> ne sera pas appliquée sur la navigation par la soumission de formulaire.</p> </div> @@ -42,7 +42,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/navigate-to <p>Une ou plusieurs sources peuvent être utilisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: navigate-to <source>; +<pre class="syntaxbox">Content-Security-Policy: navigate-to <source>; Content-Security-Policy: navigate-to <source> <source>; </pre> @@ -54,14 +54,14 @@ Content-Security-Policy: navigate-to <source> <source>; <h3 id="Configuration_par_balise_<meta>">Configuration par balise <meta></h3> -<pre class="brush: html notranslate"><meta http-equiv="Content-Security-Policy" content="navigate-to 'none'"> +<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="navigate-to 'none'"> </pre> <h3 id="Cas_de_violation">Cas de violation</h3> <p>Utiliser l'élément {{HTMLElement("form")}} avec un attribut <code>action</code> défini à un script embarqué en JavaScript résultera en une violation de CSP :</p> -<pre class="brush: html; example-bad notranslate"><meta http-equiv="Content-Security-Policy" content="navigate-to 'none'"> +<pre class="brush: html; example-bad"><meta http-equiv="Content-Security-Policy" content="navigate-to 'none'"> <form action="javascript:alert('Foo')" id="form1" method="post"> <input type="text" name="fieldName" value="fieldValue"> diff --git a/files/fr/web/http/headers/content-security-policy/object-src/index.html b/files/fr/web/http/headers/content-security-policy/object-src/index.html index 0111f1cf61..46cca9c2ee 100644 --- a/files/fr/web/http/headers/content-security-policy/object-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/object-src/index.html @@ -20,7 +20,9 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/object-src <p>Pour définir des types autorisés pour les éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}}, voir la directive {{CSP("plugin-types")}}.</p> -<p class="note">Les éléments contrôlés par <code>object-src</code> sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité <code>sandbox</code> et <code>allow</code> pour <code><iframe></code>). De ce fait, il est <a href="https://csp.withgoogle.com/docs/strict-csp.html">recommandé</a> de restreindre cette directive, c'est-à-dire la définir explicitement à <code>object-src 'none'</code> dans la mesure du possible.</p> +<div class="notecard note"> + <p><strong>Note :</strong> Les éléments contrôlés par <code>object-src</code> sont considérés peut-être par coïcidence comme des éléments HTML du passé et ne recevront de nouvelles fonctionnalités normalisées (comme les attributs de sécurité <code>sandbox</code> et <code>allow</code> pour <code><iframe></code>). De ce fait, il est <a href="https://csp.withgoogle.com/docs/strict-csp.html">recommandé</a> de restreindre cette directive, c'est-à-dire la définir explicitement à <code>object-src 'none'</code> dans la mesure du possible.</p> +</div> <table class="properties"> <tbody> @@ -43,7 +45,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/object-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: object-src <source>; +<pre class="syntaxbox">Content-Security-Policy: object-src <source>; Content-Security-Policy: object-src <source> <source>; </pre> @@ -57,11 +59,11 @@ Content-Security-Policy: object-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: object-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: object-src https://example.com/</pre> <p>Ces éléments {{HTMLElement("object")}}, {{HTMLElement("embed")}} et {{HTMLElement("applet")}} seront bloqués et ne se chargeront pas :</p> -<pre class="brush: html notranslate"><embed src="https://not-example.com/flash"></embed> +<pre class="brush: html"><embed src="https://not-example.com/flash"></embed> <object data="https://not-example.com/plugin"></object> <applet archive="https://not-example.com/java"></applet></pre> diff --git a/files/fr/web/http/headers/content-security-policy/plugin-types/index.html b/files/fr/web/http/headers/content-security-policy/plugin-types/index.html index 76e7cf1e38..188eccaf9e 100644 --- a/files/fr/web/http/headers/content-security-policy/plugin-types/index.html +++ b/files/fr/web/http/headers/content-security-policy/plugin-types/index.html @@ -47,7 +47,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/plugin-types <p>Un ou plusieurs <a href="/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types">types MIME</a> peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: plugin-types <type>/<subtype>; +<pre class="syntaxbox">Content-Security-Policy: plugin-types <type>/<subtype>; Content-Security-Policy: plugin-types <type>/<subtype> <type>/<subtype>; </pre> @@ -62,23 +62,23 @@ Content-Security-Policy: plugin-types <type>/<subtype> <type>/ <p>Pour intedire tous les greffons, la directive {{CSP("object-src")}} doit être définie à <code>'none'</code>. La directive <code>plugin-types</code> n'est utilisée que si vous autorisez au préalable les greffons avec <code>object-src</code>.</p> -<pre class="brush: html notranslate"><meta http-equiv="Content-Security-Policy" content="object-src 'none'"></pre> +<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="object-src 'none'"></pre> <h3 id="Autoriser_le_contenu_Flash">Autoriser le contenu Flash</h3> <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: plugin-types application/x-shockwave-flash</pre> +<pre class="brush: bash">Content-Security-Policy: plugin-types application/x-shockwave-flash</pre> <p>Cet objet Flash sera autorisé et se chargera (dans la mesure où le navigateur gère Flash) :</p> -<pre class="brush: html notranslate"><object data="https://example.com/flash" type="application/x-shockwave-flash"></object></pre> +<pre class="brush: html"><object data="https://example.com/flash" type="application/x-shockwave-flash"></object></pre> <h3 id="Autoriser_les_applets_Java">Autoriser les applets Java</h3> <p>Pour charger une {{HTMLElement("applet")}}, vous devez spécifier la valeur <code>application/x-java-applet</code> :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: plugin-types application/x-java-applet</pre> +<pre class="brush: bash">Content-Security-Policy: plugin-types application/x-java-applet</pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/prefetch-src/index.html b/files/fr/web/http/headers/content-security-policy/prefetch-src/index.html index 81d2f5f0fa..62abcf4068 100644 --- a/files/fr/web/http/headers/content-security-policy/prefetch-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/prefetch-src/index.html @@ -36,7 +36,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/prefetch-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: prefetch-src <source>; +<pre class="syntaxbox">Content-Security-Policy: prefetch-src <source>; Content-Security-Policy: prefetch-src <source> <source>; </pre> @@ -50,12 +50,12 @@ Content-Security-Policy: prefetch-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="notranslate">Content-Security-Policy: prefetch-src https://example.com/ +<pre>Content-Security-Policy: prefetch-src https://example.com/ </pre> <p>Les requêtes émises par ce code généreront des erreurs de réseau puisque les URL demandées ne correspondant pas à la liste de permissions de la directive <code>prefetch-src</code> :</p> -<pre class="notranslate"><link rel="prefetch" src="https://example.org/"></link> +<pre><link rel="prefetch" src="https://example.org/"></link> <link rel="prerender" src="https://example.org/"></link></pre> <h2 id="Spécification">Spécification</h2> diff --git a/files/fr/web/http/headers/content-security-policy/referrer/index.html b/files/fr/web/http/headers/content-security-policy/referrer/index.html index dc3b894b7c..ee12abb78d 100644 --- a/files/fr/web/http/headers/content-security-policy/referrer/index.html +++ b/files/fr/web/http/headers/content-security-policy/referrer/index.html @@ -18,14 +18,14 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/referrer <p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>referrer</strong></code> spécifie des informations dans l'en-tête HTTP {{HTTPHeader("Referer")}} (avec un seul r) pour les liens externes d'une page. Cette API est dépréciée et supprimée des navigateurs.</p> <div class="note"> -<p>Utilisez plutôt l'en-tête HTTP {{HTTPHeader("Referrer-Policy")}}.</p> +<p><strong>Note :</strong> Utilisez plutôt l'en-tête HTTP {{HTTPHeader("Referrer-Policy")}}.</p> </div> <h2 id="Syntaxe">Syntaxe</h2> <p>Soit cet en-tête CSP :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: referrer <referrer-policy>;</pre> +<pre class="syntaxbox">Content-Security-Policy: referrer <referrer-policy>;</pre> <p>Où <code><referrer-policy></code> peut être une valeur parmi :</p> @@ -45,7 +45,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/referrer <h2 id="Exemples">Exemples</h2> -<pre class="notranslate">Content-Security-Policy: referrer "none";</pre> +<pre>Content-Security-Policy: referrer "none";</pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/report-to/index.html b/files/fr/web/http/headers/content-security-policy/report-to/index.html index fe1286dbe1..3011486ccb 100644 --- a/files/fr/web/http/headers/content-security-policy/report-to/index.html +++ b/files/fr/web/http/headers/content-security-policy/report-to/index.html @@ -14,9 +14,9 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/report-to --- <div>{{HTTPSidebar}}</div> -<p><span class="seoSummary">La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>report-to</code></strong> demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP <code>Report-To</code>.</span></p> +<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <strong><code>report-to</code></strong> demande à l'agent utilisateur de rapporter les violations de règles CSP à l'adresse fournie dans un groupe de l'en-tête HTTP <code>Report-To</code>.</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: ...; report-to groupname +<pre class="syntaxbox">Content-Security-Policy: ...; report-to groupname </pre> <p>Cette directive n'a aucun effet en elle-même, mais prend tout son sens en étant combinée à d'autres directives.</p> @@ -39,38 +39,36 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/report-to <h2 id="Syntaxe">Syntaxe</h2> -<pre class="notranslate">Content-Security-Policy: report-to <json-field-value>;</pre> +<pre>Content-Security-Policy: report-to <json-field-value>;</pre> <h2 id="Exemples">Exemples</h2> <p>Voir {{HTTPHeader("Content-Security-Policy-Report-Only")}} pour plus d'informations et d'exemples.</p> -<pre class="notranslate"><a href="http://wicg.github.io/reporting/#report-to" id="ref-for-report-to①">Report-To</a>: { "<a href="http://wicg.github.io/reporting/#group" id="ref-for-group①">group</a>": "csp-endpoint", - "<a href="http://wicg.github.io/reporting/#max-age" id="ref-for-max-age①">max_age</a>": 10886400, - "<a href="http://wicg.github.io/reporting/#endpoints" id="ref-for-endpoints②">endpoints</a>": [ - { "<a href="http://wicg.github.io/reporting/#url" id="ref-for-url②">url</a>": "https://example.com/csp-reports" } +<pre><a href="http://wicg.github.io/reporting/#report-to">Report-To</a>: { "<a href="http://wicg.github.io/reporting/#group">group</a>": "csp-endpoint", + "<a href="http://wicg.github.io/reporting/#max-age">max_age</a>": 10886400, + "<a href="http://wicg.github.io/reporting/#endpoints">endpoints</a>": [ + { "<a href="http://wicg.github.io/reporting/#url">url</a>": "https://example.com/csp-reports" } ] }, - { "<a href="http://wicg.github.io/reporting/#group" id="ref-for-group②">group</a>": "hpkp-endpoint", - "<a href="http://wicg.github.io/reporting/#max-age" id="ref-for-max-age②">max_age</a>": 10886400, - "<a href="http://wicg.github.io/reporting/#endpoints" id="ref-for-endpoints③">endpoints</a>": [ - { "<a href="http://wicg.github.io/reporting/#url" id="ref-for-url③">url</a>": "https://example.com/hpkp-reports" } + { "<a href="http://wicg.github.io/reporting/#group">group</a>": "hpkp-endpoint", + "<a href="http://wicg.github.io/reporting/#max-age">max_age</a>": 10886400, + "<a href="http://wicg.github.io/reporting/#endpoints">endpoints</a>": [ + { "<a href="http://wicg.github.io/reporting/#url">url</a>": "https://example.com/hpkp-reports" } ] } -<a href="https://w3c.github.io/webappsec-csp/#content-security-policy" id="ref-for-content-security-policy①">Content-Security-Policy</a>: ...; <a href="https://w3c.github.io/webappsec-csp/#directives-reporting" id="ref-for-directives-reporting①">report-to</a> csp-endpoint +<a href="https://w3c.github.io/webappsec-csp/#content-security-policy">Content-Security-Policy</a>: ...; <a href="https://w3c.github.io/webappsec-csp/#directives-reporting">report-to</a> csp-endpoint </pre> -<pre class="notranslate"><a href="http://wicg.github.io/reporting/#report-to" id="ref-for-report-to">Report-To</a>: { "<a href="http://wicg.github.io/reporting/#group" id="ref-for-group">group</a>": "endpoint-1", - "<a href="http://wicg.github.io/reporting/#max-age" id="ref-for-max-age">max_age</a>": 10886400, - "<a href="http://wicg.github.io/reporting/#endpoints" id="ref-for-endpoints①">endpoints</a>": [ - { "<a href="http://wicg.github.io/reporting/#url" id="ref-for-url">url</a>": "https://example.com/reports" }, - { "<a href="http://wicg.github.io/reporting/#url" id="ref-for-url①">url</a>": "https://backup.com/reports" } +<pre><a href="http://wicg.github.io/reporting/#report-to">Report-To</a>: { "<a href="http://wicg.github.io/reporting/#group">group</a>": "endpoint-1", + "<a href="http://wicg.github.io/reporting/#max-age">max_age</a>": 10886400, + "<a href="http://wicg.github.io/reporting/#endpoints">endpoints</a>": [ + { "<a href="http://wicg.github.io/reporting/#url">url</a>": "https://example.com/reports" }, + { "<a href="http://wicg.github.io/reporting/#url">url</a>": "https://backup.com/reports" } ] } -<a href="https://w3c.github.io/webappsec-csp/#content-security-policy" id="ref-for-content-security-policy">Content-Security-Policy</a>: ...; <a href="https://w3c.github.io/webappsec-csp/#directives-reporting" id="ref-for-directives-reporting">report-to</a> endpoint-1</pre> +<a href="https://w3c.github.io/webappsec-csp/#content-security-policy">Content-Security-Policy</a>: ...; <a href="https://w3c.github.io/webappsec-csp/#directives-reporting">report-to</a> endpoint-1</pre> <h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> -<div class="hidden"> - <p>{{Compat("http.headers.csp.Content-Security-Policy.report-to")}}</p> <h2 id="Voir_aussi">Voir aussi</h2> diff --git a/files/fr/web/http/headers/content-security-policy/report-uri/index.html b/files/fr/web/http/headers/content-security-policy/report-uri/index.html index 40bb91bddd..18ea9daf71 100644 --- a/files/fr/web/http/headers/content-security-policy/report-uri/index.html +++ b/files/fr/web/http/headers/content-security-policy/report-uri/index.html @@ -16,9 +16,9 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/report-uri <p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>report-uri</strong></code> demande à l'agent utilisateur de rapporter les violations de règles CSP. Ces rapports de violation sont constituées d'un document JSON envoyé via une requête HTTP POST à l'URI fournie.</p> <div class="warning"> -<p>Bien que la directive {{CSP("report-to")}} est prévue remplacer la directive <code><strong>report-uri</strong></code> maintenant dépréciée, {{CSP("report-to")}} n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront {{CSP("report-to")}}, vous pouvez spécifier les deux directives <code><strong>report-uri</strong></code> et {{CSP("report-to")}}:</p> +<p><strong>Attention :</strong> Bien que la directive {{CSP("report-to")}} est prévue remplacer la directive <code><strong>report-uri</strong></code> maintenant dépréciée, {{CSP("report-to")}} n'est pas encore supportée par la plupart des navigateurs modernes. Par rétrocompatibilité avec les navigateurs courants et tout en prévoyant une compatibilité future quand les navigateurs supporteront {{CSP("report-to")}}, vous pouvez spécifier les deux directives <code><strong>report-uri</strong></code> et {{CSP("report-to")}}:</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname</pre> +<pre class="syntaxbox">Content-Security-Policy: ...; report-uri https://endpoint.com; report-to groupname</pre> <p>Dans les navigateurs qui supportent {{CSP("report-to")}}, la directive <code><strong>report-uri</strong></code> sera ignorée.</p> </div> @@ -43,7 +43,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/report-uri <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Security-Policy: report-uri <uri>; +<pre class="syntaxbox">Content-Security-Policy: report-uri <uri>; Content-Security-Policy: report-uri <uri> <uri>;</pre> <dl> @@ -55,11 +55,11 @@ Content-Security-Policy: report-uri <uri> <uri>;</pre> <p>Voir {{HTTPHeader("Content-Security-Policy-Report-Only")}} pour plus d'informations et d'exemples.</p> -<pre class="notranslate">Content-Security-Policy: default-src https:; report-uri /csp-violation-report-endpoint/</pre> +<pre>Content-Security-Policy: default-src https:; report-uri /csp-violation-report-endpoint/</pre> <p><code>/csp-violation-report-endpoint/</code> pourrait par exemple exécuter un script PHP similaire au suivant qui journaliserait le JSON détaillant la violation et, si elle est la première ajoutée au journal, enverrait un courril à l'administrateur :</p> -<pre class="brush: php notranslate"><?php +<pre class="brush: php"><?php // Start configure $log_file = dirname(__FILE__) . '/csp-violations.log'; diff --git a/files/fr/web/http/headers/content-security-policy/require-sri-for/index.html b/files/fr/web/http/headers/content-security-policy/require-sri-for/index.html index 2650a7f3c7..f78c78e47f 100644 --- a/files/fr/web/http/headers/content-security-policy/require-sri-for/index.html +++ b/files/fr/web/http/headers/content-security-policy/require-sri-for/index.html @@ -19,7 +19,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/require-sri-for <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Security-Policy: require-sri-for script; +<pre class="syntaxbox">Content-Security-Policy: require-sri-for script; Content-Security-Policy: require-sri-for style; Content-Security-Policy: require-sri-for script style; </pre> @@ -37,17 +37,17 @@ Content-Security-Policy: require-sri-for script style; <p>Soit cet en-tête CSP :</p> -<pre class="notranslate">Content-Security-Policy: require-sri-for script style</pre> +<pre>Content-Security-Policy: require-sri-for script style</pre> <p>Cet élément {{HTMLElement("script")}} sera chargé et exécuté puisqu'il utilise un attribut <code>integrity</code> valide.</p> -<pre class="brush: html; example-good notranslate"><script src="https://code.jquery.com/jquery-3.1.1.slim.js" +<pre class="brush: html; example-good"><script src="https://code.jquery.com/jquery-3.1.1.slim.js" integrity="sha256-5i/mQ300M779N2OVDrl16lbohwXNUdzL/R2aVUXyXWA=" crossorigin="anonymous"></script></pre> <p>Toutefois, ce script sera bloqué car il n'utilise pas cet attribut :</p> -<pre class="brush: html; example-bad notranslate"><script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script></pre> +<pre class="brush: html; example-bad"><script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script></pre> <h2 id="Compatibilité_des_navigateurs">Compatibilité des navigateurs</h2> diff --git a/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.html b/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.html index f4102e3593..fea32fdcd9 100644 --- a/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.html +++ b/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.html @@ -17,11 +17,11 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/require-trusted-types-f <p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>require-trusted-types-for</strong></code> {{experimental_inline}} directive informe l'agent utilisateur de contrôler les données passées au puits de fonctions XSS du DOM, tel que le mutateur <a href="/en-US/docs/Web/API/Element/innerHTML">Element.innerHTML</a>.</p> -<p>Lors de leur usage, ces fonctions n'acceptent que des valeurs typées et non falsifiables créées par des règles de Trusted Type et rejettent les chaines de caractère.<span> Conjointement à la directive <strong><code><a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/trusted-types">trusted-types</a></code></strong>, qui empêche la création de règles de Trusted Type, cette directive permet aux auteurs de définir des règles empêchant d'écrire des données dans le DOM et donc de réduire </span> <span>la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture</span><span>.</span></p> +<p>Lors de leur usage, ces fonctions n'acceptent que des valeurs typées et non falsifiables créées par des règles de Trusted Type et rejettent les chaines de caractère. Conjointement à la directive <strong><code><a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/trusted-types">trusted-types</a></code></strong>, qui empêche la création de règles de Trusted Type, cette directive permet aux auteurs de définir des règles empêchant d'écrire des données dans le DOM et donc de réduire la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture.</p> <h2 id="Syntaxe">Syntaxe</h2> -<pre class="notranslate">Content-Security-Policy: require-trusted-types-for 'script'; +<pre>Content-Security-Policy: require-trusted-types-for 'script'; </pre> <dl> @@ -31,7 +31,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/require-trusted-types-f <h2 id="Exemples">Exemples</h2> -<pre class="brush: js notranslate">// Content-Security-Policy: require-trusted-types-for 'script'; trusted-types foo; +<pre class="brush: js">// Content-Security-Policy: require-trusted-types-for 'script'; trusted-types foo; const attackerInput = '<svg onload="alert(/cross-site-scripting/)" />'; const el = document.createElement('div'); diff --git a/files/fr/web/http/headers/content-security-policy/sandbox/index.html b/files/fr/web/http/headers/content-security-policy/sandbox/index.html index 94c45d6167..626398f914 100644 --- a/files/fr/web/http/headers/content-security-policy/sandbox/index.html +++ b/files/fr/web/http/headers/content-security-policy/sandbox/index.html @@ -33,7 +33,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/sandbox <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Security-Policy: sandbox; +<pre class="syntaxbox">Content-Security-Policy: sandbox; Content-Security-Policy: sandbox <valeur>; </pre> @@ -73,7 +73,7 @@ Content-Security-Policy: sandbox <valeur>; <h2 id="Exemples">Exemples</h2> -<pre class="brush: bash notranslate">Content-Security-Policy: sandbox allow-scripts;</pre> +<pre class="brush: bash">Content-Security-Policy: sandbox allow-scripts;</pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/content-security-policy/script-src-attr/index.html b/files/fr/web/http/headers/content-security-policy/script-src-attr/index.html index 0701824fd5..d08a6f4e57 100644 --- a/files/fr/web/http/headers/content-security-policy/script-src-attr/index.html +++ b/files/fr/web/http/headers/content-security-policy/script-src-attr/index.html @@ -41,13 +41,13 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src-attr <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: script-src-attr <source>; +<pre class="syntaxbox">Content-Security-Policy: script-src-attr <source>; Content-Security-Policy: script-src-attr <source> <source>; </pre> <p><code>script-src-attr</code> peut être utilisée conjointement à {{CSP("script-src")}} :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: script-src <source>; +<pre class="syntaxbox">Content-Security-Policy: script-src <source>; Content-Security-Policy: script-src-attr <source>; </pre> @@ -61,10 +61,6 @@ Content-Security-Policy: script-src-attr <source>; <p>Si la directive <code>script-src-attr</code> est absente, l'agent utilisateur se rabat sur la valeur de la directive {{CSP("script-src")}}, qui elle-même a pour valeur par défaut celle de la directive {{CSP("default-src")}}.</p> -<div class="hidden"> -<p>TODO: Add comprehensive examples.</p> -</div> - <h2 id="Spécifications">Spécifications</h2> <table class="standard-table"> diff --git a/files/fr/web/http/headers/content-security-policy/script-src-elem/index.html b/files/fr/web/http/headers/content-security-policy/script-src-elem/index.html index 5bebc3b3a7..7d29bbef41 100644 --- a/files/fr/web/http/headers/content-security-policy/script-src-elem/index.html +++ b/files/fr/web/http/headers/content-security-policy/script-src-elem/index.html @@ -41,13 +41,13 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src-elem <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: script-src-elem <source>; +<pre class="syntaxbox">Content-Security-Policy: script-src-elem <source>; Content-Security-Policy: script-src-elem <source> <source>; </pre> <p><code>script-src-elem</code> peut être utilisée conjointement à {{CSP("script-src")}} :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: script-src <source>; +<pre class="syntaxbox">Content-Security-Policy: script-src <source>; Content-Security-Policy: script-src-elem <source>; </pre> @@ -61,10 +61,6 @@ Content-Security-Policy: script-src-elem <source>; <p>Si la directive <code>script-src-elem</code> est absente, l'agent utilisateur se rabat sur la valeur de la directive {{CSP("script-src")}}, qui elle-même a pour valeur par défaut celle de la directive {{CSP("default-src")}}.</p> -<div class="hidden"> -<p>TODO: Add comprehensive examples.</p> -</div> - <h2 id="Spécifications">Spécifications</h2> <table class="standard-table"> diff --git a/files/fr/web/http/headers/content-security-policy/script-src/index.html b/files/fr/web/http/headers/content-security-policy/script-src/index.html index d050eefcaa..a6b2659ae9 100644 --- a/files/fr/web/http/headers/content-security-policy/script-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/script-src/index.html @@ -40,7 +40,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: script-src <source>; +<pre class="syntaxbox">Content-Security-Policy: script-src <source>; Content-Security-Policy: script-src <source> <source>; </pre> @@ -54,19 +54,19 @@ Content-Security-Policy: script-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: script-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: script-src https://example.com/</pre> <p>Ces scripts seront bloqués et ne seront pas chargés ou exécutés :</p> -<pre class="brush: html notranslate"><script src="https://not-example.com/js/library.js"></script></pre> +<pre class="brush: html"><script src="https://not-example.com/js/library.js"></script></pre> <p>Notez que les gestionnaires d'évènements par attributs sont aussi bloqués :</p> -<pre class="brush: html notranslate"><button id="btn" onclick="doSomething()"></pre> +<pre class="brush: html"><button id="btn" onclick="doSomething()"></pre> <p>Vous devez les remplacer par des appels à la méthode {{domxref("EventTarget.addEventListener", "addEventListener")}} :</p> -<pre class="brush: js notranslate">document.getElementById("btn").addEventListener('click', doSomething);</pre> +<pre class="brush: js">document.getElementById("btn").addEventListener('click', doSomething);</pre> <h3 id="Scripts_embarqués_non_fiables">Scripts embarqués non fiables</h3> @@ -76,32 +76,32 @@ Content-Security-Policy: script-src <source> <source>; <p>Vous pouvez autoriser les scripts embarqués et les gestionnaires d'évènements par attributs en spécifiant la valeur <code>'unsafe-inline'</code>, des nonces ou des hashs correspondant au script.</p> -<pre class="brush: bash notranslate">Content-Security-Policy: script-src 'unsafe-inline'; +<pre class="brush: bash">Content-Security-Policy: script-src 'unsafe-inline'; </pre> <p>Cette directive CSP autorisera tous les scripts {{HTMLElement("script")}} embarqués :</p> -<pre class="brush: html notranslate"><script> +<pre class="brush: html"><script> var inline = 1; </script></pre> <p>Vous pouvez aussi utiliser un nonce pour autoriser spécifiquement certains éléments {{HTMLElement("script")}} embarqués :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: script-src 'nonce-2726c7f26c'</pre> +<pre class="brush: bash">Content-Security-Policy: script-src 'nonce-2726c7f26c'</pre> <p>Vous devrez alors définir ce nonce sur l'élément {{HTMLElement("script")}} :</p> -<pre class="brush: html notranslate"><script nonce="2726c7f26c"> +<pre class="brush: html"><script nonce="2726c7f26c"> var inline = 1; </script></pre> <p>Autrement, vous pouvez créer des hashs à partir de vos scripts. CSP accepte les algorithmes sha256, sha384 et sha512.</p> -<pre class="brush: bash notranslate">Content-Security-Policy: script-src 'sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8='</pre> +<pre class="brush: bash">Content-Security-Policy: script-src 'sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8='</pre> <p>Lors de la génération du hash, vous ne devez pas inclure les balises et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.).</p> -<pre class="brush: html notranslate"><script>var inline = 1;</script></pre> +<pre class="brush: html"><script>var inline = 1;</script></pre> <h3 id="Expressions_dévaluation_non_fiables">Expressions d'évaluation non fiables</h3> @@ -124,15 +124,15 @@ Content-Security-Policy: script-src <source> <source>; <p>La valeur <code>'strict-dynamic'</code> spécifie que la confiance explicitement donnée à un script de la page, par le biais d'un nonce ou d'un hash, doit être propagée à tous les scripts chargés par celui-ci. En conséquence, toute liste de permissions ou expressions de sources telles que <code>'self'</code> ou <code>'unsafe-inline'</code> sont ignorées. Par exemple, une règle telle que <code>script-src 'strict-dynamic' 'nonce-R4nd0m' https://whitelisted.com/</code> autoriserait le chargement de scripts comme <code><script nonce="R4nd0m" src="https://example.com/loader.js"></code> et s'appliquerait ensuite à tous les scripts chargés par <code>loader.js</code>, mais interdirait les scripts chargés depuis <code>https://whitelisted.com/</code> à moins qu'ils soient accompagnés d'un nonce ou chargés depuis un script dont la source est de confiance.</p> -<pre class="brush: bash notranslate">script-src 'strict-dynamic' 'nonce-<em>someNonce</em>'</pre> +<pre class="brush: bash">script-src 'strict-dynamic' 'nonce-<em>someNonce</em>'</pre> <p><em>Ou</em></p> -<pre class="brush: bash notranslate">script-src 'strict-dynamic' 'sha256-<em>base64EncodedHash</em>'</pre> +<pre class="brush: bash">script-src 'strict-dynamic' 'sha256-<em>base64EncodedHash</em>'</pre> <p>Il est possible de déployer <code>strict-dynamic</code> de manière rétrocompatible, sans chercher à connaitre l'agent utilisateur. Cette directive :</p> -<pre class="brush: bash notranslate">script-src 'unsafe-inline' https: 'nonce-abcdefg' 'strict-dynamic'</pre> +<pre class="brush: bash">script-src 'unsafe-inline' https: 'nonce-abcdefg' 'strict-dynamic'</pre> <p>fonctionnera comme <code>'unsafe-inline' https:</code> pour les navigateurs supportant CSP1, <code>https: 'nonce-abcdefg'</code> pour ceux supportant CSP2 et comme <code>'nonce-abcdefg' 'strict-dynamic'</code> pour ceux supportant CSP3.</p> diff --git a/files/fr/web/http/headers/content-security-policy/style-src-attr/index.html b/files/fr/web/http/headers/content-security-policy/style-src-attr/index.html index 55ef02df71..efe3b11c9a 100644 --- a/files/fr/web/http/headers/content-security-policy/style-src-attr/index.html +++ b/files/fr/web/http/headers/content-security-policy/style-src-attr/index.html @@ -43,13 +43,13 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/style-src-attr <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: style-src-attr <source>; +<pre class="syntaxbox">Content-Security-Policy: style-src-attr <source>; Content-Security-Policy: style-src-attr <source> <source>; </pre> <p><code>style-src-attr</code> peut être utilisée conjointement à {{CSP("style-src")}} :</p> -<pre class="notranslate">Content-Security-Policy: <code>style</code>-src <source>; +<pre>Content-Security-Policy: <code>style</code>-src <source>; Content-Security-Policy: <code>style</code>-src-attr <source>;</pre> <h3 id="Sources">Sources</h3> @@ -61,12 +61,6 @@ Content-Security-Policy: <code>style</code>-src-attr <source>;</pre> <dd>Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé.</dd> </dl> -<h2 id="Exemples">Exemples</h2> - -<div class="hidden"> -<p>TODO: add examples</p> -</div> - <h2 id="Spécifications">Spécifications</h2> <table class="standard-table"> diff --git a/files/fr/web/http/headers/content-security-policy/style-src-elem/index.html b/files/fr/web/http/headers/content-security-policy/style-src-elem/index.html index 49f0a0c7d4..ae88af89c0 100644 --- a/files/fr/web/http/headers/content-security-policy/style-src-elem/index.html +++ b/files/fr/web/http/headers/content-security-policy/style-src-elem/index.html @@ -43,13 +43,13 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/style-src-elem <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: style-src-elem <source>; +<pre class="syntaxbox">Content-Security-Policy: style-src-elem <source>; Content-Security-Policy: style-src-elem <source> <source>; </pre> <p><code>style-src-elem</code> peut être utilisée conjointement à {{CSP("style-src")}} :</p> -<pre class="notranslate">Content-Security-Policy: <code>style</code>-src <source>; +<pre>Content-Security-Policy: <code>style</code>-src <source>; Content-Security-Policy: <code>style</code>-src-elem <source>;</pre> <h3 id="Sources">Sources</h3> @@ -61,12 +61,6 @@ Content-Security-Policy: <code>style</code>-src-elem <source>;</pre> <dd>Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé.</dd> </dl> -<h2 id="Exemples">Exemples</h2> - -<div class="hidden"> -<p>TODO: add examples</p> -</div> - <h2 id="Spécifications">Spécifications</h2> <table class="standard-table"> diff --git a/files/fr/web/http/headers/content-security-policy/style-src/index.html b/files/fr/web/http/headers/content-security-policy/style-src/index.html index d373fa8477..a8fa19ef1c 100644 --- a/files/fr/web/http/headers/content-security-policy/style-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/style-src/index.html @@ -40,7 +40,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/style-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: style-src <source>; +<pre class="syntaxbox">Content-Security-Policy: style-src <source>; Content-Security-Policy: style-src <source> <source>; </pre> @@ -54,11 +54,11 @@ Content-Security-Policy: style-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: style-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: style-src https://example.com/</pre> <p>Ces feuilles de style seront bloquées et ne se chargeront pas :</p> -<pre class="brush: html notranslate"><link href="https://not-example.com/styles/main.css" rel="stylesheet" type="text/css" /> +<pre class="brush: html"><link href="https://not-example.com/styles/main.css" rel="stylesheet" type="text/css" /> <style> #inline-style { background: red; } @@ -70,21 +70,21 @@ Content-Security-Policy: style-src <source> <source>; <p>De même que les styles chargés avec l'en-tête {{HTTPHeader("Link")}} :</p> -<pre class="brush: bash notranslate">Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet +<pre class="brush: bash">Link: <https://not-example.com/styles/stylesheet.css>;rel=stylesheet </pre> <p>Les attributes de style seront aussi bloqués :</p> -<pre class="brush: html notranslate"><div style="display:none">Foo</div></pre> +<pre class="brush: html"><div style="display:none">Foo</div></pre> <p>De même que les styles ajoutés par JavaScript en définissant l'attribut <code>style</code> directement, ou en définissant la propriété {{domxref("CSSStyleDeclaration.cssText", "cssText")}} :</p> -<pre class="brush: js notranslate">document.querySelector('div').setAttribute('style', 'display:none;'); +<pre class="brush: js">document.querySelector('div').setAttribute('style', 'display:none;'); document.querySelector('div').style.cssText = 'display:none;';</pre> <p>Toutefois, les propriétés de styles qui sont définies directement dans l'attribut {{domxref("HTMLElement.style", "style")}} ne seront pas bloquées, permettant aux utilisateurs de manipuler sainement les styles avec JavaScript :</p> -<pre class="brush: js notranslate">document.querySelector('div').style.display = 'none';</pre> +<pre class="brush: js">document.querySelector('div').style.display = 'none';</pre> <p>Ce genre de manipulations peut être bloqué en désactivant JavaScript au moyen de la directive CSP {{CSP("script-src")}}.</p> @@ -96,12 +96,12 @@ document.querySelector('div').style.cssText = 'display:none;';</pre> <p>Vous pouvez autoriser les styles embarqués en spécifiant la valeur <code>'unsafe-inline'</code>, des nonces ou des hashs correspondant à la feuille de style.</p> -<pre class="brush: bash notranslate">Content-Security-Policy: style-src 'unsafe-inline'; +<pre class="brush: bash">Content-Security-Policy: style-src 'unsafe-inline'; </pre> <p>Cette directive CSP autorisera toutes les feuilles de styles embarquées telles que l'élément {{HTMLElement("style")}} et l'attribut <code>style</code> sur tous les éléments :</p> -<pre class="brush: html notranslate"><style> +<pre class="brush: html"><style> #inline-style { background: red; } </style> @@ -110,21 +110,21 @@ document.querySelector('div').style.cssText = 'display:none;';</pre> <p>Vous pouvez aussi utiliser un nonce pour autoriser spécifiquement certains éléments {{HTMLElement("style")}} :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: style-src 'nonce-2726c7f26c'</pre> +<pre class="brush: bash">Content-Security-Policy: style-src 'nonce-2726c7f26c'</pre> <p>Vous devrez alors définir ce nonce sur l'élément {{HTMLElement("style")}} :</p> -<pre class="brush: html notranslate"><style nonce="2726c7f26c"> +<pre class="brush: html"><style nonce="2726c7f26c"> #inline-style { background: red; } </style></pre> <p>Autrement, vous pourrez créer des hashs à partir de vos feuilles de styles. CSP accepte les algorithmes sha256, sha384 et sha512.</p> -<pre class="brush: bash notranslate">Content-Security-Policy: style-src 'sha256-a330698cbe9dc4ef1fb12e2ee9fc06d5d14300262fa4dc5878103ab7347e158f'</pre> +<pre class="brush: bash">Content-Security-Policy: style-src 'sha256-a330698cbe9dc4ef1fb12e2ee9fc06d5d14300262fa4dc5878103ab7347e158f'</pre> <p>Lors de la génération du hash, vous ne devez pas inclure les balises et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.).</p> -<pre class="brush: html notranslate"><style>#inline-style { background: red; }</style></pre> +<pre class="brush: html"><style>#inline-style { background: red; }</style></pre> <h3 id="Style_non_fiables">Style non fiables</h3> diff --git a/files/fr/web/http/headers/content-security-policy/trusted-types/index.html b/files/fr/web/http/headers/content-security-policy/trusted-types/index.html index 447823ede5..f1c5d12b6d 100644 --- a/files/fr/web/http/headers/content-security-policy/trusted-types/index.html +++ b/files/fr/web/http/headers/content-security-policy/trusted-types/index.html @@ -14,13 +14,13 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/trusted-types --- <div>{{HTTPSidebar}}</div> -<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>trusted-types</strong></code> {{experimental_inline}} informe l'agent utilisateur qu'il faut restreindre la création de règles Trusted Types (fonctions qui créent des valeurs typées non <span>falsifiables, dans le but de les passer au puits XSS du DOM au lieu de chaines de caractères).</span></p> +<p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>trusted-types</strong></code> {{experimental_inline}} informe l'agent utilisateur qu'il faut restreindre la création de règles Trusted Types (fonctions qui créent des valeurs typées non falsifiables, dans le but de les passer au puits XSS du DOM au lieu de chaines de caractères).</p> -<p><span>Conjointement à la directive <code><strong><a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/require-trusted-types-for">require-trusted-types-for</a></strong></code>, cette directive permet aux auteurs de définir des règles empêchant d'injecter des données dans le</span><span> DOM et donc de réduire la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture.</span> Cette directive déclare une liste de permissions de noms de règles de Trusted Types créée avec <code>TrustedTypes.createPolicy</code> à partir de l'API Trusted Types.</p> +<p>Conjointement à la directive <a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/require-trusted-types-for"><code>require-trusted-types-for</code></a>, cette directive permet aux auteurs de définir des règles empêchant d'injecter des données dans le DOM et donc de réduire la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture. Cette directive déclare une liste de permissions de noms de règles de Trusted Types créée avec <code>TrustedTypes.createPolicy</code> à partir de l'API Trusted Types.</p> <h2 id="Syntaxe">Syntaxe</h2> -<pre class="notranslate">Content-Security-Policy: trusted-types; +<pre>Content-Security-Policy: trusted-types; Content-Security-Policy: trusted-types 'none'; Content-Security-Policy: trusted-types <policyName>; Content-Security-Policy: trusted-types <policyName> <policyName> 'allow-duplicates'; @@ -39,11 +39,11 @@ Content-Security-Policy: trusted-types <policyName> <policyName> 'al <p>Soit l'en-tête CSP :</p> -<pre class="notranslate">Content-Security-Policy: trusted-types foo bar 'allow-duplicates';</pre> +<pre>Content-Security-Policy: trusted-types foo bar 'allow-duplicates';</pre> <p>Ce code génèrera une erreur car une des règles créées a un nom non autorisé :</p> -<pre class="brush: js notranslate">if (typeof trustedTypes !== 'undefined') { +<pre class="brush: js">if (typeof trustedTypes !== 'undefined') { const policyFoo = trustedTypes.createPolicy('foo', {}); const policyFoo2 = trustedTypes.createPolicy('foo', {}); const policyBaz = trustedTypes.createPolicy('baz', {}); // Throws and dispatches a SecurityPolicyViolationEvent. diff --git a/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.html b/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.html index fd0c579403..3b0defb999 100644 --- a/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.html +++ b/files/fr/web/http/headers/content-security-policy/upgrade-insecure-requests/index.html @@ -19,45 +19,47 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/upgrade-insecure-reques <p>La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) <code><strong>upgrade-insecure-requests</strong></code> informe l'agent utilisateur de traiter toutes les URL non sécurisées d'un site (servies avec HTTP) comme si elles avaient été remplacées par des URL sécurisées (servies avec HTTPS). Cette directive est prévue pour les sites web ayant un grand nombre d'URL non sécurisées héritées du passé et qui ont besoin d'être récrites.</p> -<p class="note">La directive <code>upgrade-insecure-requests</code> est évaluée avant la directive {{CSP("block-all-mixed-content")}} et si cette elle est définie, cette dernière est effectivement ignorée. Il est recommendé de ne définir que l'une des deux directives mais non les deux, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.</p> +<div class="notecard note"> + <p><strong>Note :</strong> La directive <code>upgrade-insecure-requests</code> est évaluée avant la directive {{CSP("block-all-mixed-content")}} et si cette elle est définie, cette dernière est effectivement ignorée. Il est recommendé de ne définir que l'une des deux directives mais non les deux, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.</p> +</div> <p>The <code>upgrade-insecure-requests</code> directive will not ensure that users visiting your site via links on third-party sites will be upgraded to HTTPS for the top-level navigation and thus does not replace the {{HTTPHeader("Strict-Transport-Security")}} ({{Glossary("HSTS")}}) header, which should still be set with an appropriate <code>max-age</code> to ensure that users are not subject to SSL stripping attacks.</p> <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Content-Security-Policy: upgrade-insecure-requests;</pre> +<pre class="syntaxbox">Content-Security-Policy: upgrade-insecure-requests;</pre> <h2 id="Exemples">Exemples</h2> <p>Soit cet en-tête CSP :</p> -<pre class="notranslate">Content-Security-Policy: upgrade-insecure-requests; +<pre>Content-Security-Policy: upgrade-insecure-requests; </pre> <p>Et cette balise meta :</p> -<pre class="brush: html notranslate"><meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"></pre> +<pre class="brush: html"><meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"></pre> <p>Avec cet en-tête défini sur le domaine example.com voulant migrer d'HTTP à HTTPS, les requêtes pour des ressources non sécurisées et non navigationnelles sont automatiquement converties (qu'elles soient internes ou externes).</p> -<pre class="brush: html notranslate"><img src="http://example.com/image.png"> +<pre class="brush: html"><img src="http://example.com/image.png"> <img src="http://not-example.com/image.png"></pre> <p>Ces URL seront récrites avant que la requête soit envoyée, signifiant qu'aucune requête non sécurisée ne sera envoyée. Notez que si la ressource demandée n'est pas actuellement disponible via HTTPS, la requête échouera sans se rabattre sur HTTP.</p> -<pre class="brush: html notranslate"><img src="https://example.com/image.png"> +<pre class="brush: html"><img src="https://example.com/image.png"> <img src="https://not-example.com/image.png"></pre> <p>Les conversions navigationnelles vers des ressources externes amènent un risque significatif de dysfonctionnement étant donné que des requêtes peuvent n'être pas converties, par exemple celles-ci :</p> -<pre class="brush: html notranslate"><a href="https://example.com/">Home</a> +<pre class="brush: html"><a href="https://example.com/">Home</a> <a href="http://not-example.com/">Home</a></pre> <h3 id="Identifier_des_requêtes_non_sécurisées">Identifier des requêtes non sécurisées</h3> <p>À l'aide de l'en-tête {{HTTPHeader("Content-Security-Policy-Report-Only")}} et de la directive {{CSP("report-uri")}}, vous pouvez mettre en place une stratégie de rapportage de violations sans bloquage conjointement à une stratégie de conversion comme :</p> -<pre class="notranslate">Content-Security-Policy: upgrade-insecure-requests; default-src https: +<pre>Content-Security-Policy: upgrade-insecure-requests; default-src https: Content-Security-Policy-Report-Only: default-src https:; report-uri /endpoint</pre> <p>De cette manière, vous convertirez toujours les requêtes non sécurisées sur votre site sécurisé mais la stratégie de rapportage identifiera les requêtes non sécurisées et les rapportera à l'adresse fournie.</p> diff --git a/files/fr/web/http/headers/content-security-policy/worker-src/index.html b/files/fr/web/http/headers/content-security-policy/worker-src/index.html index 5854d16fc7..fd9ee4f21f 100644 --- a/files/fr/web/http/headers/content-security-policy/worker-src/index.html +++ b/files/fr/web/http/headers/content-security-policy/worker-src/index.html @@ -42,7 +42,7 @@ translation_of: Web/HTTP/Headers/Content-Security-Policy/worker-src <p>Une ou plusieurs sources peuvent être autorisées pour cette directive :</p> -<pre class="syntaxbox notranslate">Content-Security-Policy: worker-src <source>; +<pre class="syntaxbox">Content-Security-Policy: worker-src <source>; Content-Security-Policy: worker-src <source> <source>; </pre> @@ -56,11 +56,11 @@ Content-Security-Policy: worker-src <source> <source>; <p>Soit cet en-tête CSP :</p> -<pre class="brush: bash notranslate">Content-Security-Policy: worker-src https://example.com/</pre> +<pre class="brush: bash">Content-Security-Policy: worker-src https://example.com/</pre> <p>{{domxref("Worker")}}, {{domxref("SharedWorker")}} et {{domxref("ServiceWorker")}} seront bloqués et ne se chargeront pas :</p> -<pre class="brush: html notranslate"><script> +<pre class="brush: html"><script> var blockedWorker = new Worker("data:application/javascript,..."); blockedWorker = new SharedWorker("https://not-example.com/"); navigator.serviceWorker.register('https://not-example.com/sw.js'); diff --git a/files/fr/web/http/headers/feature-policy/accelerometer/index.html b/files/fr/web/http/headers/feature-policy/accelerometer/index.html index 370adce84c..20d123a97b 100644 --- a/files/fr/web/http/headers/feature-policy/accelerometer/index.html +++ b/files/fr/web/http/headers/feature-policy/accelerometer/index.html @@ -16,7 +16,7 @@ translation_of: Web/HTTP/Headers/Feature-Policy/accelerometer <h2 id="Syntaxe">Syntaxe</h2> -<pre class="notranslate">Feature-Policy: accelerometer <listePermissions>;</pre> +<pre>Feature-Policy: accelerometer <listePermissions>;</pre> <dl> <dt><listePermissions></dt> diff --git a/files/fr/web/http/headers/feature-policy/index.html b/files/fr/web/http/headers/feature-policy/index.html index 597355cd84..355056996d 100644 --- a/files/fr/web/http/headers/feature-policy/index.html +++ b/files/fr/web/http/headers/feature-policy/index.html @@ -16,10 +16,10 @@ translation_of: Web/HTTP/Headers/Feature-Policy --- <div>{{HTTPSidebar}}</div> -<p><span class="seoSummary">L'en-tête HTTP <strong><code>Feature-Policy</code></strong> est un mécanisme permettant de permettre ou d'interdire l'utilisation de fonctionnalités du navigateur dans son propre cadre et dans ceux de tous les éléments {{HTMLElement("iframe")}} que le document contient.</span></p> +<p>L'en-tête HTTP <strong><code>Feature-Policy</code></strong> est un mécanisme permettant de permettre ou d'interdire l'utilisation de fonctionnalités du navigateur dans son propre cadre et dans ceux de tous les éléments {{HTMLElement("iframe")}} que le document contient.</p> <div class="note"> -<p>Cet en-tête est toujours au stade expérimental, et est sujet à être modifié à tout moment. Méfiez-vous en si vous souhaitez l'implanter sur vos sites. Il a maintenant été renommé <code>Permissions-Policy</code> dans la spécification, et cet article sera mis à jour pour refléter ce changement.</p> +<p><strong>Note :</strong> Cet en-tête est toujours au stade expérimental, et est sujet à être modifié à tout moment. Méfiez-vous en si vous souhaitez l'implanter sur vos sites. Il a maintenant été renommé <code>Permissions-Policy</code> dans la spécification, et cet article sera mis à jour pour refléter ce changement.</p> </div> <p>Pour plus d'informations, vour l'article principal sur <a href="/docs/Web/HTTP/Feature_Policy">Feature Policy</a>.</p> @@ -39,7 +39,7 @@ translation_of: Web/HTTP/Headers/Feature-Policy <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Feature-Policy: <directive> <allowlist></pre> +<pre class="syntaxbox">Feature-Policy: <directive> <allowlist></pre> <dl> <dt><code><directive></code></dt> @@ -126,7 +126,7 @@ translation_of: Web/HTTP/Headers/Feature-Policy <p>SecureCorp Inc. souhaite désactiver les API du microphone et de géolocalisation dans son application. Elle peut le faire en délivrant l'en-tête de réponse HTTP suivant pour définir une réglementation des fonctionnalités :</p> -<pre class="notranslate">Feature-Policy: microphone 'none'; geolocation 'none'</pre> +<pre>Feature-Policy: microphone 'none'; geolocation 'none'</pre> <p>En spécifiant la valeur <code>'none'</code> pour liste des origines, les fonctionnalités auquel la valeur est appliquée seront désactivées pour tous les contextes de navigation (incluant tout les cadres <code><iframe></code>), quelle que soit leur origine.</p> diff --git a/files/fr/web/http/headers/index.html b/files/fr/web/http/headers/index.html index 95bcc91ab5..3233fecdb2 100644 --- a/files/fr/web/http/headers/index.html +++ b/files/fr/web/http/headers/index.html @@ -83,13 +83,13 @@ translation_of: Web/HTTP/Headers <dl> <dt>{{HTTPHeader("Accept-CH")}} {{experimental_inline}}</dt> - <dd>les serveurs peuvent informer de leur niveau de support pour les Client Hints en utilisant l'en-tête <code>Accept-CH</code> ou en HTML avec l'élément <code><meta></code> ayant l'attribut <code>http-equiv</code> (<a href="https://httpwg.org/http-extensions/client-hints.html#HTML5"><cite>[HTML5]</cite></a>).</dd> + <dd>les serveurs peuvent informer de leur niveau de support pour les Client Hints en utilisant l'en-tête <code>Accept-CH</code> ou en HTML avec l'élément <code><meta></code> ayant l'attribut <code>http-equiv</code> (<a href="https://httpwg.org/http-extensions/client-hints.html#HTML5">[HTML5]</a>).</dd> <dt>{{HTTPHeader("Accept-CH-Lifetime")}} {{experimental_inline}}</dt> - <dd>les serveurs peuvent demander au client de mémoriser l'ensemble des Client Hints que le serveur supporte pour une période de temps donnée, afin de permettre la livraison de Client Hints sur les requêtes suivantes vers l'origine du serveur (<a href="https://httpwg.org/http-extensions/client-hints.html#RFC6454"><cite>[RFC6454]</cite></a>).</dd> + <dd>les serveurs peuvent demander au client de mémoriser l'ensemble des Client Hints que le serveur supporte pour une période de temps donnée, afin de permettre la livraison de Client Hints sur les requêtes suivantes vers l'origine du serveur (<a href="https://httpwg.org/http-extensions/client-hints.html#RFC6454">[RFC6454]</a>).</dd> <dt>{{HTTPHeader("Content-DPR")}} {{experimental_inline}}</dt> <dd>un nombre indiquant le rapport entre le nombre de pixels physiques et le nombre de pixels CSS de l'image réponse sélectionnée.</dd> <dt>{{HTTPHeader("DPR")}} {{experimental_inline}}</dt> - <dd>un nombre indiquant le Device Pixel Ratio (DPR) actuel du client, qui est le rapport du nombre de pixels physiques sur le nombre de pixels CSS (Section 5.2 of <a href="https://httpwg.org/http-extensions/client-hints.html#CSSVAL"><cite>[CSSVAL]</cite></a>) de la zone d'affichage (Section 9.1.1 of <a href="https://httpwg.org/http-extensions/client-hints.html#CSS2"><cite>[CSS2]</cite></a>) sur l'appareil.</dd> + <dd>un nombre indiquant le Device Pixel Ratio (DPR) actuel du client, qui est le rapport du nombre de pixels physiques sur le nombre de pixels CSS (Section 5.2 of <a href="https://httpwg.org/http-extensions/client-hints.html#CSSVAL">[CSSVAL]</a>) de la zone d'affichage (Section 9.1.1 of <a href="https://httpwg.org/http-extensions/client-hints.html#CSS2">[CSS2]</a>) sur l'appareil.</dd> <dt>{{HTTPHeader("Device-Memory")}} {{experimental_inline}}</dt> <dd>faisant techniquement partie de l'API Device Memory, cet en-tête représente la quantité approximative de mémoire vive dont le client dispose.</dd> <dt>{{HTTPHeader("Early-Data")}} {{experimental_inline}}</dt> @@ -97,11 +97,9 @@ translation_of: Web/HTTP/Headers <dt>{{HTTPHeader("Save-Data")}} {{experimental_inline}}</dt> <dd>booléen indiquant les préférences de l'agent utilisateur pour réduire la quantité de données transmises.</dd> <dt>{{HTTPHeader("Viewport-Width")}} {{experimental_inline}}</dt> - <dd>la largeur de la zone d'affichage, soit le nombre de pixels CSS. La valeur fournise est arrondie au plus grand proche supérieur.</dd> - <dd>Si <code>Viewport-Width</code> apparait dans un message plus d'une fois, la dernière valeur écrase toutes les valeurs précédentes.</dd> + <dd>la largeur de la zone d'affichage, soit le nombre de pixels CSS. La valeur fournise est arrondie au plus grand proche supérieur. Si <code>Viewport-Width</code> apparait dans un message plus d'une fois, la dernière valeur écrase toutes les valeurs précédentes.</dd> <dt>{{HTTPHeader("Width")}} {{experimental_inline}}</dt> - <dd>l'en-tête de requête <code>Width</code> représente la largeur de la ressource voulue en nombre de pixels physiques. La valeur fournise est arrondie au plus proche entier supérieur.</dd> - <dd>Si la largeur de la ressource voulue est inconnue quand la requête ou la ressource n'a pas de largeur d'affichage, l'en-tête <code>Width</code> peut être omise. Si <code>Width</code> apparait dans un message plus d'une fois, la dernière valeur écrase toutes les valeurs précédentes.</dd> + <dd>l'en-tête de requête <code>Width</code> représente la largeur de la ressource voulue en nombre de pixels physiques. La valeur fournise est arrondie au plus proche entier supérieur. Si la largeur de la ressource voulue est inconnue quand la requête ou la ressource n'a pas de largeur d'affichage, l'en-tête <code>Width</code> peut être omise. Si <code>Width</code> apparait dans un message plus d'une fois, la dernière valeur écrase toutes les valeurs précédentes.</dd> </dl> <h2 id="Conditionnels">Conditionnels</h2> diff --git a/files/fr/web/http/headers/location/index.html b/files/fr/web/http/headers/location/index.html index ce0c29f00f..2a6447e69e 100644 --- a/files/fr/web/http/headers/location/index.html +++ b/files/fr/web/http/headers/location/index.html @@ -35,7 +35,7 @@ translation_of: Web/HTTP/Headers/Location <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Location: <url> +<pre class="syntaxbox">Location: <url> </pre> <h2 id="Directives">Directives</h2> @@ -47,7 +47,7 @@ translation_of: Web/HTTP/Headers/Location <h2 id="Exemples">Exemples</h2> -<pre class="notranslate">Location: /index.html</pre> +<pre>Location: /index.html</pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/referer/index.html b/files/fr/web/http/headers/referer/index.html index 085e7602c5..17a4b3cbd9 100644 --- a/files/fr/web/http/headers/referer/index.html +++ b/files/fr/web/http/headers/referer/index.html @@ -14,7 +14,7 @@ translation_of: Web/HTTP/Headers/Referer <p>L'en-tête de requête <code><strong>Referer</strong></code> contient l'adresse de la page web précédente à partir de laquelle un lien a été suivi pour demander la page courante. L'en-tête <code>Referer</code> permet aux serveurs d'identifier la provenance des visiteurs d'une page et cette information peut être utilisée à des fins d'analyse, de journalisation ou pour améliorer la politique de cache par exemple.</p> <div class="warning"> -<p><strong>Important </strong>: Bien que cet en-tête puisse être utilisé à de nombreuses fins légitimes, il peut avoir des effets indésirables sur la sécurité et la vie privée. Voir la page <a href="fr/docs/Web/Security/Referer_header:_privacy_and_security_concerns">Questions de sécurité et de vie privée : quid de l'en-tête <code>referer</code></a> pour plus d'informations et des méthodes d'atténuation.</p> +<p><strong>Attention :</strong> Bien que cet en-tête puisse être utilisé à de nombreuses fins légitimes, il peut avoir des effets indésirables sur la sécurité et la vie privée. Voir la page <a href="fr/docs/Web/Security/Referer_header:_privacy_and_security_concerns">Questions de sécurité et de vie privée : quid de l'en-tête <code>referer</code></a> pour plus d'informations et des méthodes d'atténuation.</p> </div> <p>Note : le terme <code>referer</code> est orthographié ainsi bien qu'il s'agisse d'une erreur à partir du mot anglais "<em>referrer</em>". Voir {{interwiki("wikipedia", "HTTP_referer", "L'en-tête <code>referer</code> HTTP sur Wikipédia")}} pour plus de détails.</p> diff --git a/files/fr/web/http/headers/referrer-policy/index.html b/files/fr/web/http/headers/referrer-policy/index.html index b439879863..0020ea23fb 100644 --- a/files/fr/web/http/headers/referrer-policy/index.html +++ b/files/fr/web/http/headers/referrer-policy/index.html @@ -16,7 +16,7 @@ translation_of: Web/HTTP/Headers/Referrer-Policy --- <div>{{HTTPSidebar}}</div> -<p><span class="seoSummary">L'en-tête {{glossary("HTTP header")}} <strong><code>Referrer-Policy</code></strong> contrôle la quantité d'<a href="/en-US/docs/Web/Security/Referer_header:_privacy_and_security_concerns">informations sur le référent (referrer)</a> (envoyées par l'en-tête {{HTTPHeader("Referer")}}) incluses dans la requête.</span></p> +<p>L'en-tête {{glossary("HTTP header")}} <strong><code>Referrer-Policy</code></strong> contrôle la quantité d'<a href="/en-US/docs/Web/Security/Referer_header:_privacy_and_security_concerns">informations sur le référent (referrer)</a> (envoyées par l'en-tête {{HTTPHeader("Referer")}}) incluses dans la requête.</p> <table class="properties"> <tbody> @@ -33,11 +33,11 @@ translation_of: Web/HTTP/Headers/Referrer-Policy <h2 id="Syntaxe">Syntaxe</h2> -<div class="blockIndicator note"> -<p>Le nom originel de l'en-tête, {{HTTPHeader("Referer")}}, est une faute de frappe du mot anglais "referrer". L'en-tête <code>Referrer-Policy</code> ne comporte pas cette erreur.</p> +<div class="note"> +<p><strong>Note :</strong> Le nom originel de l'en-tête, {{HTTPHeader("Referer")}}, est une faute de frappe du mot anglais "referrer". L'en-tête <code>Referrer-Policy</code> ne comporte pas cette erreur.</p> </div> -<pre class="syntaxbox notranslate">Referrer-Policy: no-referrer +<pre class="syntaxbox">Referrer-Policy: no-referrer Referrer-Policy: no-referrer-when-downgrade Referrer-Policy: origin Referrer-Policy: origin-when-cross-origin @@ -54,7 +54,9 @@ Referrer-Policy: unsafe-url <dd>L'en-tête {{HTTPHeader("Referer")}} sera entièrement omis. Aucune information sur le référent ne sera envoyée avec les requêtes.</dd> <dt><code>no-referrer-when-downgrade</code> (default)</dt> <dd>C'est le comportement par défaut si aucune valeur n'est spécifiée ou quelle celle donnée est invalide. L'{{glossary("origin")}}, le {{glossary("path")}}, et la {{glossary("querystring")}} de l'URL sont envoyés comme référent quand le niveau de sécurité du protocole reste le même (HTTP vers HTTP, HTTPS vers HTTPS) ou s'améliore (HTTP vers HTTPS) mais ne sont pas envoyés quand si la destination est moins sécurisée (HTTPS vers HTTP). - <div class="note">Les navigateurs tentent d'adopter une valeur par défaut plus stricte, précisément <code>strict-origin-when-cross-origin</code> (voir <a href="https://github.com/whatwg/fetch/pull/952">https://github.com/whatwg/fetch/pull/952</a>), envisagez d'utiliser cette valeur (ou une autre encore plus stricte) si possible si vous définissez la valeur de Referrer-Policy.</div> + <div class="note"> + <p><strong>Note :</strong> Les navigateurs tentent d'adopter une valeur par défaut plus stricte, précisément <code>strict-origin-when-cross-origin</code> (voir <a href="https://github.com/whatwg/fetch/pull/952">https://github.com/whatwg/fetch/pull/952</a>), envisagez d'utiliser cette valeur (ou une autre encore plus stricte) si possible si vous définissez la valeur de Referrer-Policy.</p> + </div> </dd> <dt><code>origin</code></dt> <dd>N'envoie que l'{{glossary("origin")}} du document comme référent.<br> @@ -69,8 +71,8 @@ Referrer-Policy: unsafe-url <dd>Envoie l'origine, le chemin et les paramètres de requête pour les requêtes de même origine, n'envoie que l'origine quand le niveau de sécurité du protocole reste le même pour les requêtes vers des adresses externes (HTTPS vers HTTPS) et n'envoie rien si la destination est moins sécurisée (HTTPS vers HTTP).</dd> <dt><code>unsafe-url</code></dt> <dd>Envoie l'origine, le chemin et les paramètres de requête pour toutes les requêtes sans tenir compte du niveau de sécurité. - <div class="blockIndicator warning"> - <p>Cette valeur divulgera des informations potentiellement confidentielles de la part des URL de ressources HTTPS vers des origines non sécurisées. Considérez les conséquences de ce paramétrage avant de vous en servir.</p> + <div class="warning"> + <p><strong>Attention :</strong> Cette valeur divulgera des informations potentiellement confidentielles de la part des URL de ressources HTTPS vers des origines non sécurisées. Considérez les conséquences de ce paramétrage avant de vous en servir.</p> </div> </dd> </dl> @@ -79,18 +81,18 @@ Referrer-Policy: unsafe-url <p>Vous pouvez aussi définir des règles de référent au sein d'HTML. Par exemple, vous pouvez définir la règle de référent pour le document entier avec un élément {{HTMLElement("meta")}} dont le <a href="/en-US/docs/Web/HTML/Element/meta#attr-name">name</a> est <code>referrer</code> :</p> -<pre class="brush: html notranslate"><meta name="referrer" content="origin"></pre> +<pre class="brush: html"><meta name="referrer" content="origin"></pre> <p>Ou le définit pour des requêtes spécifiques avec l'attribut <code>referrerpolicy</code> sur les éléments {{HTMLElement("a")}}, {{HTMLElement("area")}}, {{HTMLElement("img")}}, {{HTMLElement("iframe")}}, {{HTMLElement("script")}}, ou {{HTMLElement("link")}} :</p> -<pre class="brush: html notranslate"><a href="http://example.com" referrerpolicy="origin"></pre> +<pre class="brush: html"><a href="http://example.com" referrerpolicy="origin"></pre> <p>Autrement, une <a href="/en-US/docs/Web/HTML/Link_types">relation de lien</a> définie à <code>noreferrer</code> sur un élément <code>a</code>, <code>area</code>, ou <code>link</code> peut être défini :</p> -<pre class="brush: html notranslate"><a href="http://example.com" rel="noreferrer"></pre> +<pre class="brush: html"><a href="http://example.com" rel="noreferrer"></pre> -<div class="blockIndicator warning"> -<p>Comme vu précédemment, la relation de lien <code>noreferrer</code> s'écrit sans trait d'union. Toutefois, quand la règle de référent est spécifiée pour le document entier avec un élément {{HTMLElement("meta")}}, il faut mettre le trait d'union : <code><meta name="referrer" content="no-referrer"></code>.</p> +<div class="warning"> +<p><strong>Attention :</strong> Comme vu précédemment, la relation de lien <code>noreferrer</code> s'écrit sans trait d'union. Toutefois, quand la règle de référent est spécifiée pour le document entier avec un élément {{HTMLElement("meta")}}, il faut mettre le trait d'union : <code><meta name="referrer" content="no-referrer"></code>.</p> </div> <h2 id="Intégration_avec_CSS">Intégration avec CSS</h2> @@ -206,11 +208,13 @@ Referrer-Policy: unsafe-url <p>Si vous voulez spécifier une règle à appliquer par défaut dans les où la règle voulue n'est pas supportée par les navigateurs, utilisez un liste de valeurs séparées par des virgules avec la règle voulue fournie en dernière position :</p> -<pre class="notranslate">Referrer-Policy: no-referrer, strict-origin-when-cross-origin</pre> +<pre>Referrer-Policy: no-referrer, strict-origin-when-cross-origin</pre> <p>Ici, <code>no-referrer</code> ne sera utilisée que si <code>strict-origin-when-cross-origin</code> n'est pas supportée par le navigateur.</p> -<p class="note">Spécifier plusieurs valeurs n'est supporté que dans l'en-tête HTTP <code>Referrer-Policy</code> et non dans l'attribut <code>referrerpolicy</code>.</p> +<div class="notecard note"> + <p><strong>Note :</strong> Spécifier plusieurs valeurs n'est supporté que dans l'en-tête HTTP <code>Referrer-Policy</code> et non dans l'attribut <code>referrerpolicy</code>.</p> +</div> <h2 id="Spécifications">Spécifications</h2> @@ -234,8 +238,9 @@ Referrer-Policy: unsafe-url <p>{{Compat("http.headers.Referrer-Policy")}}</p> <div class="note"> + <p><strong>Note :</strong></p> <ul> - <li>Version 53 et plus, Gecko offre la possibilité aux utilisateurs de définir leur valeur par défaut de <code>Referrer-Policy</code> dans <code>about:config</code>, l'option s'appelant <span class="quote"> <code>network.http.referer.userControlPolicy</code>.</span></li> + <li>Version 53 et plus, Gecko offre la possibilité aux utilisateurs de définir leur valeur par défaut de <code>Referrer-Policy</code> dans <code>about:config</code>, l'option s'appelant <code>network.http.referer.userControlPolicy</code>.</li> <li>Version 59 et plus (Voir <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=587523">#587523</a>), il a été remplacé par <code>network.http.referer.defaultPolicy</code> et <code>network.http.referer.defaultPolicy.pbmode</code>.</li> </ul> @@ -254,7 +259,7 @@ Referrer-Policy: unsafe-url <ul> <li>{{interwiki("wikipedia", "HTTP_referer", "HTTP referer on Wikipedia")}}</li> <li>En utilisant <a href="/en-US/docs/Web/API/Fetch_API">Fetch</a> : {{domxref("Request.referrerPolicy")}}</li> - <li>La directive obsolète {{HTTPHeader("Content-Security-Policy/referrer", "referrer")}} {{Obsolete_Inline}} de l'en-tête <span style="white-space: nowrap;">{{HTTPHeader("Content-Security-Policy")}}</span>.</li> + <li>La directive obsolète {{HTTPHeader("Content-Security-Policy/referrer", "referrer")}} {{Obsolete_Inline}} de l'en-tête {{HTTPHeader("Content-Security-Policy")}}.</li> <li><a href="/en-US/docs/Web/Security/Same-origin_policy">Same-origin policy</a></li> <li> <p><a href="https://blog.mozilla.org/security/2015/01/21/meta-referrer/">Tighter Control Over Your Referrers – Mozilla Security Blog</a></p> diff --git a/files/fr/web/http/headers/server/index.html b/files/fr/web/http/headers/server/index.html index d29601ba61..5aa0a27da7 100644 --- a/files/fr/web/http/headers/server/index.html +++ b/files/fr/web/http/headers/server/index.html @@ -14,7 +14,7 @@ original_slug: Web/HTTP/Headers/Serveur <p>Le paramètre d'entête <code><strong>Server</strong></code> contient des informations à propos du système (ou sous-système) en place sur le serveur qui s'occupe de la requête.</p> -<p><span id="result_box" lang="fr"><span>Il est préférable d'éviter les valeurs</span></span><span lang="fr"><span> excessivement longues et/ou détaillées : elles peuvent révéler des détails internes qui pourraient rendre (un peu) plus facile une attaque et l'exploitation d'une éventuelle faille de sécurité.</span></span></p> +<p>Il est préférable d'éviter les valeurs excessivement longues et/ou détaillées : elles peuvent révéler des détails internes qui pourraient rendre (un peu) plus facile une attaque et l'exploitation d'une éventuelle faille de sécurité.</p> <table class="properties"> <tbody> @@ -38,7 +38,7 @@ original_slug: Web/HTTP/Headers/Serveur <dl> <dt><valeur></dt> - <dd><span id="result_box" lang="fr"><span>Le nom du système (ou sous-système) qui gère les requêtes.</span></span></dd> + <dd>Le nom du système (ou sous-système) qui gère les requêtes.</dd> </dl> <h2 id="Exemples">Exemples</h2> @@ -64,7 +64,7 @@ original_slug: Web/HTTP/Headers/Serveur <p>{{Compat("http.headers.Server")}}</p> -<h2 id="Voir_également"><span class="short_text" id="result_box" lang="fr"><span>Voir également</span></span></h2> +<h2 id="Voir_également">Voir également</h2> <ul> <li>{{HTTPHeader("Allow")}}</li> diff --git a/files/fr/web/http/headers/set-cookie/index.html b/files/fr/web/http/headers/set-cookie/index.html index 5326802c98..5208808eb7 100644 --- a/files/fr/web/http/headers/set-cookie/index.html +++ b/files/fr/web/http/headers/set-cookie/index.html @@ -12,11 +12,10 @@ translation_of: Web/HTTP/Headers/Set-Cookie --- <div>{{HTTPSidebar}}</div> -<p><span class="seoSummary">L'en-tête de réponse HTTP <strong><code>Set-Cookie</code></strong> est utilisé pour envoyer un cookie depuis le serveur à l'agent utilisateur afin qu'il puisse le renvoyer dans l'avenir.</span> Pour envoyer plusieurs cookies, on enverra plusieurs en-têtes <code>Set-Cookie</code> dans la même réponse.</p> +<p>L'en-tête de réponse HTTP <strong><code>Set-Cookie</code></strong> est utilisé pour envoyer un cookie depuis le serveur à l'agent utilisateur afin qu'il puisse le renvoyer dans l'avenir.</span> Pour envoyer plusieurs cookies, on enverra plusieurs en-têtes <code>Set-Cookie</code> dans la même réponse.</p> -<div class="notecard warning"> - <p><b>Avertissement :</b></p> - <p>Les navigateurs empêchent le code JavaScript <i>front-end</i> d'accéder à l'en-tête <code>Set-Cookie</code>, comme l'exige la spécification Fetch, qui définit <code>Set-Cookie</code> comme un <a href="https://fetch.spec.whatwg.org/#forbidden-response-header-name">nom d'en-tête de réponse interdit</a> qui <a href="https://fetch.spec.whatwg.org/#ref-for-forbidden-response-header-name%E2%91%A0">doit être filtré</a> de toute réponse exposée au code <i>front-end</i>.</p> +<div class="warning"> + <p><strong>Attention :</strong> Les navigateurs empêchent le code JavaScript <i>front-end</i> d'accéder à l'en-tête <code>Set-Cookie</code>, comme l'exige la spécification Fetch, qui définit <code>Set-Cookie</code> comme un <a href="https://fetch.spec.whatwg.org/#forbidden-response-header-name">nom d'en-tête de réponse interdit</a> qui <a href="https://fetch.spec.whatwg.org/#ref-for-forbidden-response-header-name%E2%91%A0">doit être filtré</a> de toute réponse exposée au code <i>front-end</i>.</p> </div> <p>Pour plus d'information, voir le <a href="/fr/docs/Web/HTTP/Cookies">guide sur les cookies HTTP</a>.</p> @@ -59,7 +58,7 @@ Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value> <dl> <dt><code><cookie-name>=<cookie-value></code></dt> - <dd>Un cookie commence par une paire nom-valeur: + <dd><p>Un cookie commence par une paire nom-valeur:</p> <ul> <li>Le nom porté par <code><cookie-name></code> peut-être composé de n'importe quels caractères ASCII, à l'exception des caractères de contrôle, d'espace, de tabulation et des caractères de séparation suivants : <code>( ) < > @ , ; : \ " / [ ] ? = { }</code>.</li> <li>La valeur, <code><cookie-value></code>, peut éventuellement être entourée de guillemets doubles et peut être composée de n'importe quel caractère ASCII à l'exception des caractères de contrôle, des blancs, des guillemets doubles, d'une virgule, d'un point-virgule ou d'une barre oblique inversée (<i>backslash</i>). <strong>Encodage</strong> : de nombreuses implémentations encodent les caractères d'URL (<i>URL-encoding</i>) bien que ce ne soit pas nécessaire selon la RFC. Une telle transformation facilite tout de même l'utilisation de caractères autorisés.</li> @@ -73,9 +72,8 @@ Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value> <p>Si non spécifié, le cookie devient un <strong>cookie de session</strong>. Une session finit quand le client s'arrête, les cookies de sessions sont alors supprimés à ce moment.</p> - <div class="notecard warning"> - <p><b>Attention :</b></p> - <p>Plusieurs navigateurs ont un système de récupération de session qui enregistre les onglets et les restaure quand le navigateur redémarre. Les cookies de session seront aussi restaurés comme si le navigateur ne s'était jamais arrêté.</p> + <div class="warning"> + <p><strong>Attention :</strong> Plusieurs navigateurs ont un système de récupération de session qui enregistre les onglets et les restaure quand le navigateur redémarre. Les cookies de session seront aussi restaurés comme si le navigateur ne s'était jamais arrêté.</p> </div> <p>Quand une telle date de péremption est indiquée, elle est relative au <em>client</em> et pas au serveur.</p> @@ -83,7 +81,7 @@ Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value> <dt><code>Max-Age=<number> </code>{{optional_inline}}</dt> <dd>Le nombre de secondes avant son expiration. Une valeur nulle ou négative fera expirer immédiatement le cookie. Si <code>Expires</code> et <code>Max-Age</code> sont configurés, <code>Max-Age</code> sera prioritaire.</dd> <dt><code>Domain=<domain-value></code> {{optional_inline}}</dt> - <dd>Le domaine où le cookie sera envoyé. + <dd><p>Le domaine où le cookie sera envoyé.</p> <ul> <li>Si omis, la valeur par défaut sera l'hôte de l'URL du document courant. Les sous-domaines ne seront pas inclus.</li> <li>Contrairement aux anciennes spécifications, le point au début dans les noms de domaines (<code>.example.com</code>) est ignoré.</li> @@ -91,18 +89,19 @@ Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value> </ul> </dd> <dt><code>Path=<path-value></code> {{optional_inline}}</dt> - <dd>Un chemin qui doit exister dans l'URL de la requête ou le navigateur n'enverra pas d'en-tête <code>Cookie</code> correspondante par la suite.</dd> - <dd>La barre oblique (<code>/</code>) est interprétée comme un séparateur de répertoire. Les sous-répertoires sont inclus, par exemple: pour <code>Path=/docs</code> les répertoires <code>/docs</code>, <code>/docs/Web/</code> et <code>/docs/Web/HTTP</code> sont concernés.</dd> - <dt id="secure"><code>Secure</code> {{optional_inline}}</dt> - <dd>Un cookie sécurisé est envoyé uniquement si la requête est faite en <code>https:</code> (sauf pour <i>localhost</i>). Cependant des informations confidentielles ne devraient jamais être enregistrées dans un cookie classique, en effet le mécanique est non sécurisé et ne chiffre aucune information. - <p class="notecard note"><b>Note:</b> Les sites non sécurisés (<code>http:</code>) ne peuvent plus définir des cookies <code></code>Secure</code> désormais (depuis Chrome 52+ et Firefox 52+). Depuis Firefox 75, cette restriction ne s'applique pas pour <i>localhost</i>.</p> + <dd>Un chemin qui doit exister dans l'URL de la requête ou le navigateur n'enverra pas d'en-tête <code>Cookie</code> correspondante par la suite. La barre oblique (<code>/</code>) est interprétée comme un séparateur de répertoire. Les sous-répertoires sont inclus, par exemple: pour <code>Path=/docs</code> les répertoires <code>/docs</code>, <code>/docs/Web/</code> et <code>/docs/Web/HTTP</code> sont concernés.</dd> + <dt><code>Secure</code> {{optional_inline}}</dt> + <dd><p>Un cookie sécurisé est envoyé uniquement si la requête est faite en <code>https:</code> (sauf pour <i>localhost</i>). Cependant des informations confidentielles ne devraient jamais être enregistrées dans un cookie classique, en effet le mécanique est non sécurisé et ne chiffre aucune information.</p> + <div class="notecard note"> + <p><strong>Note :</strong> Les sites non sécurisés (<code>http:</code>) ne peuvent plus définir des cookies <code></code>Secure</code> désormais (depuis Chrome 52+ et Firefox 52+). Depuis Firefox 75, cette restriction ne s'applique pas pour <i>localhost</i>.</p> + </div> </dd> - <dt id="httponly"><code>HttpOnly</code> {{optional_inline}}</dt> + <dt><code>HttpOnly</code> {{optional_inline}}</dt> <dd>Empêche JavaScript d'accéder au cookie; par exemple, au travers de la propriété <a href="/fr/docs/Web/API/Document/cookie"><code>Document.cookie</code></a>, de l'API <a href="/fr/docs/Web/API/XMLHttpRequest"><code>XMLHttpRequest</code></a> ou de l'API <a href="/fr/docs/Web/API/Request"><code>Request</code></a>. Cela protège des attaques <em>cross-site scripting</em> (<a href="/fr/docs/Glossary/XSS">XSS</a>).</dd> - <dt id="samesite"><code>SameSite=<samesite-value></code> {{optional_inline}}</dt> - <dd>Contrôle si un cookie est envoyé avec les requêtes d'origine croisée, offrant ainsi une certaine protection contre les attaques de falsification de requêtes inter-sites (<a href="/fr/docs/Glossary/CSRF">CSRF</a>). + <dt><code>SameSite=<samesite-value></code> {{optional_inline}}</dt> + <dd><p>Contrôle si un cookie est envoyé avec les requêtes d'origine croisée, offrant ainsi une certaine protection contre les attaques de falsification de requêtes inter-sites (<a href="/fr/docs/Glossary/CSRF">CSRF</a>).</p> <div class="notecard note"> - <p>Les normes relatives aux <a href="/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite">Cookies SameSite</a> ont récemment changé de telle sorte que :</p> + <p><strong>Note :</strong> Les normes relatives aux <a href="/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite">Cookies SameSite</a> ont récemment changé de telle sorte que :</p> <ol> <li>Le comportement d'envoi des cookies si <code>SameSite</code> n'est pas spécifié est <code>SameSite=Lax</code>. Auparavant, le comportement par défaut était que les cookies étaient envoyés pour toutes les requêtes.</li> @@ -111,8 +110,7 @@ Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value> <p>Les options ci-dessous couvrent le nouveau comportement. Voir le tableau <a href="/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite#browser_compatibility">Compatibilité des navigateurs</a> pour des informations sur la mise en œuvre spécifique des navigateurs (lignes : « <code>SameSite</code> : Defaults to <code>Lax</code> » et « <code>SameSite</code> : Secure context required »).</p> </div> - Les options sont : - + <p>Les options sont :</p> <ul> <li><code>Strict</code> : le navigateur envoie le cookie uniquement pour les demandes provenant du même site (c'est-à-dire les demandes provenant du même site qui a défini le cookie). Si la demande provient d'une URL différente de l'URL actuelle, aucun cookie avec l'attribut <code>SameSite=Strict</code> n'est envoyé.</li> <li><code>Lax</code> : Le cookie n'est pas envoyé sur les requêtes inter-sites, telles que les appels pour charger des images ou des <i>iframes</i>, mais il est envoyé lorsqu'un utilisateur navigue vers le site d'origine à partir d'un site externe (par exemple, s'il suit un lien). C'est le comportement par défaut si l'attribut <code>SameSite</code> n'est pas spécifié.</li> @@ -157,9 +155,8 @@ Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value> <p>De plus, les cookies avec le préfixe <code>__Host-</code> doivent avoir un <code>path</code> qui vaut <code>/</code> (donc tous les chemins de l'hôte) et ne doivent pas avoir d'attribut <code>Domain</code>.</p> -<div class="notecard warning"> - <p><b>Attention :</b></p> - <p>Pour les clients qui n'implémentent pas les préfixes de cookies, vous ne pouvez pas compter sur ces contraintes, les cookies avec un préfixe seront toujours acceptés.</p> +<div class="warning"> + <p><strong>Attention :</strong> Pour les clients qui n'implémentent pas les préfixes de cookies, vous ne pouvez pas compter sur ces contraintes, les cookies avec un préfixe seront toujours acceptés.</p> </div> <pre>// Les deux sont acceptés s'ils viennent d'une origine sécurisée (HTTPS) diff --git a/files/fr/web/http/headers/set-cookie/samesite/index.html b/files/fr/web/http/headers/set-cookie/samesite/index.html index d2afa73ff4..1daba82b19 100644 --- a/files/fr/web/http/headers/set-cookie/samesite/index.html +++ b/files/fr/web/http/headers/set-cookie/samesite/index.html @@ -10,7 +10,7 @@ translation_of: Web/HTTP/Headers/Set-Cookie/SameSite --- <div>{{HTTPSidebar}}</div> -<p><span class="seoSummary">L'attribut <strong><code>SameSite</code></strong> de l'en-tête de réponse HTTP {{HTTPHeader("Set-Cookie")}} vous permet de déclarer si vos cookies doivent être restreints au site visité, à des tiers, ou à des sous-domaines du site actuel. </span></p> +<p>L'attribut <strong><code>SameSite</code></strong> de l'en-tête de réponse HTTP {{HTTPHeader("Set-Cookie")}} vous permet de déclarer si vos cookies doivent être restreints au site visité, à des tiers, ou à des sous-domaines du site actuel.</p> <h2 id="Valeurs">Valeurs</h2> @@ -45,11 +45,11 @@ translation_of: Web/HTTP/Headers/Set-Cookie/SameSite <p>Cet alerte apparaît dans les cas où des cookies requièrent l'attribut <code>SameSite=None</code> et ne sont pas marqués <code>Secure</code>, étant donc refusés par le navigateur.</p> -<pre class="example-bad notranslate">Set-Cookie: flavor=choco; SameSite=None</pre> +<pre class="example-bad">Set-Cookie: flavor=choco; SameSite=None</pre> <p>Pour corriger cette erreur, vous devez ajouter l'attribut <code>Secure</code> à vos cookies marqués avec l'attribut <code>SameSite=None</code>.</p> -<pre class="example-good notranslate">Set-Cookie: flavor=choco; SameSite=None; <strong>Secure</strong></pre> +<pre class="example-good">Set-Cookie: flavor=choco; SameSite=None; <strong>Secure</strong></pre> <p>Un cookie <code>Secure</code> ne sera envoyé au serveur que par le biais de requêtes utilisant le protocole HTTPS. Il est à noter que les sites non sécurisés (<code>http:</code>) ne peuvent pas être marqués <code>Secure</code>.</p> @@ -64,15 +64,15 @@ translation_of: Web/HTTP/Headers/Set-Cookie/SameSite <p>Cette alerte apparait car la stratégie de <code>SameSite</code> pour le cookie n'a pas été spécifiée explicitement :</p> -<pre class="example-bad notranslate">Set-Cookie: flavor=choco</pre> +<pre class="example-bad">Set-Cookie: flavor=choco</pre> <p>Même si vous pouvez compter sur la valeur par défaut <code>SameSite=Lax</code> des navigateurs récents, vous devriez tout de même spécifier la stratégie à appliquer pour ce cookie afin de communiquer clairement votre intention. Cela améliorera également l'expérience sur les autres navigateurs si ceux-ci n'utilisent pas encore la valeur par défaut <code>Lax</code>.</p> -<pre class="example-good notranslate">Set-Cookie: flavor=choco; <strong>SameSite=Lax</strong></pre> +<pre class="example-good">Set-Cookie: flavor=choco; <strong>SameSite=Lax</strong></pre> <h2 id="Exemples"><strong>Exemples</strong></h2> -<pre class="notranslate">RewriteEngine on +<pre>RewriteEngine on RewriteBase "/" RewriteCond "%{HTTP_HOST}" "^example\.org$" [NC] RewriteRule "^(.*)" "https://www.example.org/index.html" [R=301,L,QSA] diff --git a/files/fr/web/http/headers/tk/index.html b/files/fr/web/http/headers/tk/index.html index 6005638705..677741b57c 100644 --- a/files/fr/web/http/headers/tk/index.html +++ b/files/fr/web/http/headers/tk/index.html @@ -22,7 +22,7 @@ translation_of: Web/HTTP/Headers/Tk <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Tk: ! (en construction) +<pre class="syntaxbox">Tk: ! (en construction) Tk: ? (dynamique) Tk: G (passerelle ou multiples parties) Tk: N (pas de suivi) @@ -60,7 +60,7 @@ Tk: U (mis à jour) <p>Un entête <code>Tk</code> pour une ressource qui prétend ne pas être suivie :</p> -<pre class="notranslate">Tk: N</pre> +<pre>Tk: N</pre> <h2 id="Specifications">Specifications</h2> diff --git a/files/fr/web/http/headers/trailer/index.html b/files/fr/web/http/headers/trailer/index.html index d1f23aebe0..d72dd82230 100644 --- a/files/fr/web/http/headers/trailer/index.html +++ b/files/fr/web/http/headers/trailer/index.html @@ -8,7 +8,7 @@ translation_of: Web/HTTP/Headers/Trailer <p>L'en-tête <strong>Trailer</strong> permet à l'expéditeur d'inclure des champs supplémentaires à la fin des blocs de messages pour fournir des métadonnées supplémentaires qui peuvent être générées de manière dynamique pendant que le corps du message sera envoyé, il peut s'agir de la vérification de l'intégrité du message, une signature numérique, ou encore un statut après le traitement.</p> <div class="note"> -<p>L'en-tête {{HTTPHeader("TE")}} de la requête devra être définie en tant que "trailers" pour autoriser les champs de type "trailer".</p> +<p><strong>Note :</strong> L'en-tête {{HTTPHeader("TE")}} de la requête devra être définie en tant que "trailers" pour autoriser les champs de type "trailer".</p> </div> <table class="properties"> @@ -83,7 +83,7 @@ Expires: Wed, 21 Oct 2015 07:28:00 GMT</pre> </tbody> </table> -<h2 id="Browser_compatibility" name="Browser_compatibility">Compatibilités</h2> +<h2 id="Browser_compatibility">Compatibilités</h2> <p>{{Compat("http/headers/trailer")}}</p> diff --git a/files/fr/web/http/headers/vary/index.html b/files/fr/web/http/headers/vary/index.html index 9cacf3ee12..9686318de5 100644 --- a/files/fr/web/http/headers/vary/index.html +++ b/files/fr/web/http/headers/vary/index.html @@ -30,7 +30,7 @@ translation_of: Web/HTTP/Headers/Vary <h2 id="Syntaxe">Syntaxe</h2> -<pre class="syntaxbox notranslate">Vary: * +<pre class="syntaxbox">Vary: * Vary: <header-name>, <header-name>, ... </pre> @@ -49,7 +49,7 @@ Vary: <header-name>, <header-name>, ... <p>Lorsque l'en-tête <code>Vary: User-Agent</code> est utilisée, les serveurs de cache doivent prendre en compte l'agent de l'utilisateur pour décider de servir la page depuis le cache ou non. Par exemple, si vous servez du contenu différent pour les utilisateurs sur mobile, il aide à éviter qu'une version ordinateur de votre site ne soit distribuée à un utilisateur sur mobile. Il peut aider google et d'autres moteurs de recherche à prendre en compte la version pour mobile d'un site, ainsi que de signaler que le <a href="https://en.wikipedia.org/wiki/Cloaking">Cloaking</a> n'est pas intentionel.</p> -<pre class="notranslate">Vary: User-Agent</pre> +<pre>Vary: User-Agent</pre> <h2 id="Spécifications">Spécifications</h2> diff --git a/files/fr/web/http/headers/x-content-type-options/index.html b/files/fr/web/http/headers/x-content-type-options/index.html index 3ece5740a7..cadeb86472 100644 --- a/files/fr/web/http/headers/x-content-type-options/index.html +++ b/files/fr/web/http/headers/x-content-type-options/index.html @@ -16,7 +16,9 @@ translation_of: Web/HTTP/Headers/X-Content-Type-Options <p>Les testeurs de sécurité du site s'attendent généralement à ce que cet en-tête soit défini.</p> -<p class="blockIndicator note">Note: <code>X-Content-Type-Options</code> ne s'appliquent qu'au <a href="https://fetch.spec.whatwg.org/#should-response-to-request-be-blocked-due-to-nosniff?">blocage des demandes par <code>nosniff</code></a> pour les <a href="https://fetch.spec.whatwg.org/#concept-request-destination">destinations de demandes</a> de "<code>script</code>" et "<code>style</code>". Il permet également le <a href="https://chromium.googlesource.com/chromium/src/+/master/services/network/cross_origin_read_blocking_explainer.md#what-types-of-content-are-protected-by-corb">blocage en lecture croisé (CORB)</a> pour les fichiers HTML, TXT, JSON, et XML (à l'exception des images SVG <code>image/svg+xml</code>).</p> +<div class="note"> + <p><strong>Note :</strong> <code>X-Content-Type-Options</code> ne s'appliquent qu'au <a href="https://fetch.spec.whatwg.org/#should-response-to-request-be-blocked-due-to-nosniff?">blocage des demandes par <code>nosniff</code></a> pour les <a href="https://fetch.spec.whatwg.org/#concept-request-destination">destinations de demandes</a> de "<code>script</code>" et "<code>style</code>". Il permet également le <a href="https://chromium.googlesource.com/chromium/src/+/master/services/network/cross_origin_read_blocking_explainer.md#what-types-of-content-are-protected-by-corb">blocage en lecture croisé (CORB)</a> pour les fichiers HTML, TXT, JSON, et XML (à l'exception des images SVG <code>image/svg+xml</code>).</p> +</div> <table class="properties"> <tbody> @@ -40,14 +42,12 @@ translation_of: Web/HTTP/Headers/X-Content-Type-Options <dl> <dt><code>nosniff</code></dt> - <br> - <dd>Bloque une requête si la destination de la requête est de type + <dd><p>Bloque une requête si la destination de la requête est de type</p> <ul> <li>"<code>style</code>" et le MIME n'est pas de type <code>text/css</code>, ou</li> <li>"<code>script</code>" et le MIME n'est pas de type <a href="https://html.spec.whatwg.org/multipage/scripting.html#javascript-mime-type">JavaScript MIME type</a></li> </ul> - </dd> - <dd>Permet le blocage de la lecture croisée pour les types MIME + <p>Permet le blocage de la lecture croisée pour les types MIME</p> <ul> <li><code>text/html</code></li> <li><code>text/plain</code></li> diff --git a/files/fr/web/http/headers/x-frame-options/index.html b/files/fr/web/http/headers/x-frame-options/index.html index 6569babd24..b47e3918b5 100644 --- a/files/fr/web/http/headers/x-frame-options/index.html +++ b/files/fr/web/http/headers/x-frame-options/index.html @@ -15,7 +15,7 @@ translation_of: Web/HTTP/Headers/X-Frame-Options <p>Ce complément de sécurité est uniquement valable lorsque l'utilisateur final visite le document avec un navigateur prenant en charge <code>X-Frame-Options</code>.</p> <div class="note"> -<p><strong>Note : </strong>L'en-tête {{HTTPHeader("Content-Security-Policy")}} possède une directive <code><a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors">frame-ancestors</a></code> qui <a href="https://www.w3.org/TR/CSP2/#frame-ancestors-and-frame-options">supplante</a> cet en-tête pour les navigateurs compatibles.</p> +<p><strong>Note :</strong> L'en-tête {{HTTPHeader("Content-Security-Policy")}} possède une directive <code><a href="/fr/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors">frame-ancestors</a></code> qui <a href="https://www.w3.org/TR/CSP2/#frame-ancestors-and-frame-options">supplante</a> cet en-tête pour les navigateurs compatibles.</p> </div> <table class="properties"> |