From 33058f2b292b3a581333bdfb21b8f671898c5060 Mon Sep 17 00:00:00 2001 From: Peter Bengtsson Date: Tue, 8 Dec 2020 14:40:17 -0500 Subject: initial commit --- .../content-security-policy/navigate-to/index.html | 104 +++++++++++++++++++++ 1 file changed, 104 insertions(+) create mode 100644 files/fr/web/http/headers/content-security-policy/navigate-to/index.html (limited to 'files/fr/web/http/headers/content-security-policy/navigate-to') diff --git a/files/fr/web/http/headers/content-security-policy/navigate-to/index.html b/files/fr/web/http/headers/content-security-policy/navigate-to/index.html new file mode 100644 index 0000000000..19bd1d6e5b --- /dev/null +++ b/files/fr/web/http/headers/content-security-policy/navigate-to/index.html @@ -0,0 +1,104 @@ +--- +title: 'CSP: navigate-to' +slug: Web/HTTP/Headers/Content-Security-Policy/navigate-to +tags: + - CSP + - Content-Security-Policy + - Directive + - HTTP + - Navigation + - Reference + - Security + - Sécurité + - navigate-to +translation_of: Web/HTTP/Headers/Content-Security-Policy/navigate-to +--- +
{{HTTPSidebar}}
+ +

La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) navigate-to restreint les URL vers lesquelles un document peut initier une navigation de quelque manière que ce soit, dont {{HTMLElement("form")}} (si {{CSP("form-action")}} n'est pas spécifié), {{HTMLElement("a")}}, {{DOMxRef("window.location")}}, {{DOMxRef("window.open")}}, etc. Elle permet de renforcer les navigations que le document peut initier et non les adresses vers lesquelles ce document peut naviguer.

+ +
+

Note : Si la directive {{CSP("form-action")}} est présente, la directive navigate-to ne sera pas appliquée sur la navigation par la soumission de formulaire.

+
+ + + + + + + + + + + + + + + + +
Version de CSP3
Type de directive{{Glossary("Navigation directive")}}
{{CSP("default-src")}} par défautNon, ne pas la définir autorise toutes les adresses.
+ +

Syntaxe

+ +

Une ou plusieurs sources peuvent être utilisées pour cette directive :

+ +
Content-Security-Policy: navigate-to <source>;
+Content-Security-Policy: navigate-to <source> <source>;
+
+ +

Sources

+ +

{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}

+ +

Exemples

+ +

Configuration par balise <meta>

+ +
<meta http-equiv="Content-Security-Policy" content="navigate-to 'none'">
+
+ +

Cas de violation

+ +

Utiliser l'élément {{HTMLElement("form")}} avec un attribut action défini à un script embarqué en JavaScript résultera en une violation de CSP :

+ +
<meta http-equiv="Content-Security-Policy" content="navigate-to 'none'">
+
+<form action="javascript:alert('Foo')" id="form1" method="post">
+  <input type="text" name="fieldName" value="fieldValue">
+  <input type="submit" id="submit" value="submit">
+</form>
+
+ +

Spécifications

+ + + + + + + + + + + + + + +
SpécificationStatutCommentaire
{{specName("CSP 3.0", "#directive-navigate-to", "navigate-to")}}{{Spec2("CSP 3.0")}}Définition initiale.
+ +

Compatibilité des navigateurs

+ + + +

{{Compat("http.headers.csp.Content-Security-Policy.navigate-to")}}

+ +

Voir aussi

+ + -- cgit v1.2.3-54-g00ecf