From 0fe03b92344c0f9b0d4ada2146d4480997ab2e25 Mon Sep 17 00:00:00 2001 From: julieng Date: Fri, 17 Sep 2021 20:50:13 +0200 Subject: convert content to md --- .../content-security-policy/base-uri/index.md | 124 +++---- .../block-all-mixed-content/index.md | 58 ++- .../content-security-policy/child-src/index.md | 111 +++--- .../content-security-policy/connect-src/index.md | 143 ++++---- .../content-security-policy/default-src/index.md | 255 ++++++------- .../content-security-policy/font-src/index.md | 107 +++--- .../content-security-policy/form-action/index.md | 130 +++---- .../frame-ancestors/index.md | 179 +++++----- .../content-security-policy/frame-src/index.md | 104 +++--- .../content-security-policy/img-src/index.md | 103 +++--- .../http/headers/content-security-policy/index.md | 395 +++++++++------------ .../content-security-policy/manifest-src/index.md | 99 +++--- .../content-security-policy/media-src/index.md | 109 +++--- .../content-security-policy/navigate-to/index.md | 114 +++--- .../content-security-policy/object-src/index.md | 115 +++--- .../content-security-policy/plugin-types/index.md | 134 +++---- .../content-security-policy/prefetch-src/index.md | 94 +++-- .../content-security-policy/referrer/index.md | 62 ++-- .../content-security-policy/report-to/index.md | 97 ++--- .../content-security-policy/report-uri/index.md | 114 +++--- .../require-sri-for/index.md | 59 ++- .../require-trusted-types-for/index.md | 73 ++-- .../content-security-policy/sandbox/index.md | 160 ++++----- .../script-src-attr/index.md | 99 +++--- .../script-src-elem/index.md | 101 +++--- .../content-security-policy/script-src/index.md | 211 +++++------ .../style-src-attr/index.md | 110 +++--- .../style-src-elem/index.md | 110 +++--- .../content-security-policy/style-src/index.md | 232 ++++++------ .../content-security-policy/trusted-types/index.md | 87 ++--- .../upgrade-insecure-requests/index.md | 98 +++-- .../content-security-policy/worker-src/index.md | 126 +++---- 32 files changed, 1844 insertions(+), 2269 deletions(-) (limited to 'files/fr/web/http/headers/content-security-policy') diff --git a/files/fr/web/http/headers/content-security-policy/base-uri/index.md b/files/fr/web/http/headers/content-security-policy/base-uri/index.md index 714cfb2f7b..87d7c5c3a4 100644 --- a/files/fr/web/http/headers/content-security-policy/base-uri/index.md +++ b/files/fr/web/http/headers/content-security-policy/base-uri/index.md @@ -12,98 +12,88 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/base-uri --- -
{{HTTPSidebar}}
+{{HTTPSidebar}} -

La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) base-uri restreint les URL qui peuvent être utilisées comme valeur d'un élément {{HTMLElement("base")}}. Si cette valeur est absente, alors toutes les adresses sont autorisées. Si cette directive est absente, l'agent utilisateur va utiliser la valeur dans l'élément {{HTMLElement("base")}}.

+La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`base-uri`** restreint les URL qui peuvent être utilisées comme valeur d'un élément {{HTMLElement("base")}}. Si cette valeur est absente, alors toutes les adresses sont autorisées. Si cette directive est absente, l'agent utilisateur va utiliser la valeur dans l'élément {{HTMLElement("base")}}. - - - - - - - - - - - - - - + + + + + + + + + + + + + +
Version de CSP2
Type de directive{{Glossary("Document directive")}}
{{CSP("default-src")}} par défautNon, ne pas la définir autorise toutes les URL
Version de CSP2
Type de directive{{Glossary("Document directive")}}
{{CSP("default-src")}} par défautNon, ne pas la définir autorise toutes les URL
-

Syntaxe

+## Syntaxe -

Une ou plusieurs sources peuvent être autorisées pour cette directive :

+Une ou plusieurs _sources_ peuvent être autorisées pour cette directive : -
Content-Security-Policy: base-uri <source>;
-Content-Security-Policy: base-uri <source> <source>;
-
+ Content-Security-Policy: base-uri ; + Content-Security-Policy: base-uri ; -

Sources

+### Sources -

Bien que cette directive utilise les mêmes arguments que d'autres directives CSP, certains d'entre eux n'ont pas de sens concernant l'élément {{HTMLElement("base")}}, comme les valeurs 'unsafe-inline' et 'strict-dynamic'

+Bien que cette directive utilise les mêmes arguments que d'autres directives CSP, certains d'entre eux n'ont pas de sens concernant l'élément {{HTMLElement("base")}}, comme les valeurs `'unsafe-inline'` et `'strict-dynamic'` -

{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}

+{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}} -

Exemples

+## Exemples -

Configuration par balise <meta>

+### Configuration par balise \ -
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'">
+```html + +``` -

Configuration par Apache

+### Configuration par Apache -
<IfModule mod_headers.c>
+```bash
+
 Header set Content-Security-Policy "base-uri 'self'";
-</IfModule>
+ +``` -

Configuration par Nginx

+### Configuration par Nginx -
add_header Content-Security-Policy "base-uri 'self';"
+```bash +add_header Content-Security-Policy "base-uri 'self';" +``` -

Cas de violation

+### Cas de violation -

À partir du moment où votre domaine n'est pas example.com, un élément {{HTMLElement("base")}} avec son attribut href défini à https://example.com résultera en une violation de CSP.

+À partir du moment où votre domaine n'est pas `example.com`, un élément {{HTMLElement("base")}} avec son attribut `href` défini à `https://example.com` résultera en une violation de CSP. -
<meta http-equiv="Content-Security-Policy" content="base-uri 'self'">
-<base href="https://example.com/">
+```html example-bad
+
+
 
 // Error: Refused to set the document's base URI to 'https://example.com/'
 // because it violates the following Content Security Policy
-// directive: "base-uri 'self'"
- -

Spécifications

- - - - - - - - - - - - - - - - - - - -
SpécificationStatutCommentaire
{{specName("CSP 3.0", "#directive-base-uri", "base-uri")}}{{Spec2('CSP 3.0')}}Inchangé.
{{specName("CSP 1.1", "#directive-base-uri", "base-uri")}}{{Spec2('CSP 1.1')}}Définition initiale.
+// directive: "base-uri 'self'" +``` + +## Spécifications + +| Spécification | Statut | Commentaire | +| ---------------------------------------------------------------------------- | ---------------------------- | -------------------- | +| {{specName("CSP 3.0", "#directive-base-uri", "base-uri")}} | {{Spec2('CSP 3.0')}} | Inchangé. | +| {{specName("CSP 1.1", "#directive-base-uri", "base-uri")}} | {{Spec2('CSP 1.1')}} | Définition initiale. | -

Compatibilité des navigateurs

+## Compatibilité des navigateurs -

{{Compat("http.headers.csp.base-uri")}}

+{{Compat("http.headers.csp.base-uri")}} -

Voir aussi

+## Voir aussi - +- {{HTTPheader("Content-Security-Policy")}} +- {{HTMLElement("base")}} +- {{domxref("Node.baseURI")}} diff --git a/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.md b/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.md index 92897ebaf9..02b2d4f27a 100644 --- a/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.md +++ b/files/fr/web/http/headers/content-security-policy/block-all-mixed-content/index.md @@ -13,56 +13,40 @@ tags: - block-all-mixed-content translation_of: Web/HTTP/Headers/Content-Security-Policy/block-all-mixed-content --- -
{{HTTPSidebar}}
+{{HTTPSidebar}} -

La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) block-all-mixed-content bloque le chargement de ressources via HTTP lorsque la page utilise HTTPS.

+La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`block-all-mixed-content`** bloque le chargement de ressources via HTTP lorsque la page utilise HTTPS. -

Toutes les requêtes vers des contenus mixtes sont alors bloquées, y compris les ressources actives et passives. Cela s'applique aussi aux documents {{HTMLElement("iframe")}}, assurant que la page est complètement protégée contre les contenus mixtes.

+Toutes les requêtes vers des [contenus mixtes](/fr/docs/Sécurité/MixedContent) sont alors bloquées, y compris les ressources actives et passives. Cela s'applique aussi aux documents {{HTMLElement("iframe")}}, assurant que la page est complètement protégée contre les contenus mixtes. -
-

Note : La directive {{CSP("upgrade-insecure-requests")}} est évaluée avant block-all-mixed-content. Si elle est définie, alors block-all-mixed-content n'est pas nécessaire, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP.

-
+> **Note :** La directive {{CSP("upgrade-insecure-requests")}} est évaluée avant `block-all-mixed-content`. Si elle est définie, alors `block-all-mixed-content` n'est pas nécessaire, à moins que vous souhaitiez forcer HTTPS sur les anciens navigateurs qui ne le font pas après une redirection vers HTTP. -

Syntaxe

+## Syntaxe -
Content-Security-Policy: block-all-mixed-content;
+ Content-Security-Policy: block-all-mixed-content; -

Exemples

+## Exemples -
Content-Security-Policy: block-all-mixed-content;
+    Content-Security-Policy: block-all-mixed-content;
 
-<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
-
+ -

Pour interdire l'usage de HTTP de manière plus fine, vous pouvez aussi configurer individuellement chaque directive sur https:. Par exemple, pour interdire les images HTTP non sécurisées :

+Pour interdire l'usage de HTTP de manière plus fine, vous pouvez aussi configurer individuellement chaque directive sur `https:`. Par exemple, pour interdire les images HTTP non sécurisées : -
Content-Security-Policy: img-src https:
+ Content-Security-Policy: img-src https: -

Spécifications

+## Spécifications - - - - - - - - - - - - - -
SpecificationStatutCommentaire
{{specName("Mixed Content", "#block-all-mixed-content", "block-all-mixed-content")}}{{Spec2('Mixed Content')}}Définition initiale.
+| Specification | Statut | Commentaire | +| ---------------------------------------------------------------------------------------------------------------- | ------------------------------------ | -------------------- | +| {{specName("Mixed Content", "#block-all-mixed-content", "block-all-mixed-content")}} | {{Spec2('Mixed Content')}} | Définition initiale. | -

Compatibilités navigateurs

+## Compatibilités navigateurs -

{{Compat("http.headers.csp.block-all-mixed-content")}}

+{{Compat("http.headers.csp.block-all-mixed-content")}} -

Voir également

+## Voir également - +- {{HTTPHeader("Content-Security-Policy")}} +- {{CSP("upgrade-insecure-requests")}} +- [Mixed content](/en-US/docs/Web/Security/Mixed_content) diff --git a/files/fr/web/http/headers/content-security-policy/child-src/index.md b/files/fr/web/http/headers/content-security-policy/child-src/index.md index 8cf2d1ab7a..6e2c72d712 100644 --- a/files/fr/web/http/headers/content-security-policy/child-src/index.md +++ b/files/fr/web/http/headers/content-security-policy/child-src/index.md @@ -14,85 +14,74 @@ tags: - source translation_of: Web/HTTP/Headers/Content-Security-Policy/child-src --- -
{{HTTPSidebar}}
+{{HTTPSidebar}} -

La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) child-src définit les sources valides de web workers et de contextes de navigations imbriqués chargés au moyen d'éléments tels que {{HTMLElement("frame")}} et {{HTMLElement("iframe")}}. Pour les workers, les requêtes conformes sont traitées comme des erreurs de réseau fatales par l'agent utilisateur.

+La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`child-src`** définit les sources valides de [web workers](/en-US/docs/Web/API/Web_Workers_API) et de contextes de navigations imbriqués chargés au moyen d'éléments tels que {{HTMLElement("frame")}} et {{HTMLElement("iframe")}}. Pour les workers, les requêtes conformes sont traitées comme des erreurs de réseau fatales par l'agent utilisateur. - - - - - - - - - - - - - - + + + + + + + + + + + + + +
Version de CSP2
Type de directive{{Glossary("Fetch directive")}}
{{CSP("default-src")}} par défautOui, si cette directive est absente, l'agent utilisateur consultera la directive default-src
Version de CSP2
Type de directive{{Glossary("Fetch directive")}}
{{CSP("default-src")}} par défaut + Oui, si cette directive est absente, l'agent utilisateur consultera la + directive default-src +
-

Syntaxe

+## Syntaxe -

Une ou plusieurs sources peuvent être autorisées pour cette directive :

+Une ou plusieurs sources peuvent être autorisées pour cette directive : -
Content-Security-Policy: child-src <source>;
-Content-Security-Policy: child-src <source> <source>;
-
+ Content-Security-Policy: child-src ; + Content-Security-Policy: child-src ; -

Sources

+### Sources -

{{page("Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}}

+{{page("Web/HTTP/Headers/Content-Security-Policy/connect-src", "Sources")}} -

Exemples

+## Exemples -

Cas de violation

+### Cas de violation -

Soit cet en-tête CSP :

+Soit cet en-tête CSP : -
Content-Security-Policy: child-src https://example.com/
+```bash +Content-Security-Policy: child-src https://example.com/ +``` -

Cet {{HTMLElement("iframe")}} et ce worker seront bloqués et ne se chargeront pas :

+Cet {{HTMLElement("iframe")}} et ce worker seront bloqués et ne se chargeront pas : -
<iframe src="https://not-example.com"></iframe>
+```html
+
 
-<script>
+
+```
+
+## Spécifications
+
+| Spécification                                                                    | Statut                       | Commentaire          |
+| -------------------------------------------------------------------------------- | ---------------------------- | -------------------- |
+| {{specName("CSP 3.0", "#directive-child-src", "child-src")}} | {{Spec2('CSP 3.0')}} | Inchangé.            |
+| {{specName("CSP 1.1", "#directive-child-src", "child-src")}} | {{Spec2('CSP 1.1')}} | Définition initiale. |
 
-
Compatibilité des navigateurs

+## Compatibilité des navigateurs
 
-
{{Compat("http.headers.csp.Content-Security-Policy.child-src")}}

+{{Compat("http.headers.csp.Content-Security-Policy.child-src")}}
 
-
Voir aussi

+## Voir aussi
 
-
+- {{HTTPHeader("Content-Security-Policy")}}
+- {{HTMLElement("frame")}} and {{HTMLElement("iframe")}}
+- {{domxref("Worker")}}, {{domxref("SharedWorker")}}, {{domxref("ServiceWorker")}}
diff --git a/files/fr/web/http/headers/content-security-policy/connect-src/index.md b/files/fr/web/http/headers/content-security-policy/connect-src/index.md
index 845f46f7b0..35179b9411 100644
--- a/files/fr/web/http/headers/content-security-policy/connect-src/index.md
+++ b/files/fr/web/http/headers/content-security-policy/connect-src/index.md
@@ -13,65 +13,66 @@ tags:
   - source
 translation_of: Web/HTTP/Headers/Content-Security-Policy/connect-src
 ---
-
{{HTTPSidebar}}

+{{HTTPSidebar}}
 
-
La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) connect-src restreint les URL qui peuvent être chargées en utilisant des interfaces de programmation. Les API qui sont affectées sont :

+La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`connect-src`** restreint les URL qui peuvent être chargées en utilisant des interfaces de programmation. Les API qui sont affectées sont :
 
-
+- {{HTMLElement("a")}} {{htmlattrxref("ping", "a")}},
+- {{domxref("Fetch")}},
+- {{domxref("XMLHttpRequest")}},
+- {{domxref("WebSocket")}},
+- {{domxref("EventSource")}}, and
+- {{domxref("Navigator.sendBeacon()")}}.
 
-

-
Note : connect-src 'self' ne s'applique pas aux schémas de websocket pour tous les navigateurs. Pour plus d'informations, consulter : https://github.com/w3c/webappsec-csp/issues/7.

-

+> **Note :** `connect-src 'self'` ne s'applique pas aux schémas de websocket pour tous les navigateurs. Pour plus d'informations, consulter : .
 
 
- 
-  
-   
-   
-  
-  
-   
-   
-  
-  
-   
-   
-  
- 
+  
+    
+      
+      
+    
+    
+      
+      
+    
+    
+      
+      
+    
+  
Version de CSP1
Type de directive{{Glossary("Fetch directive")}}
{{CSP("default-src")}} par défautOui, si cette directive est absente, l'agent utilisateur consultera la directive default-src
Version de CSP1
Type de directive{{Glossary("Fetch directive")}}
{{CSP("default-src")}} par défaut
+        Oui, si cette directive est absente, l'agent utilisateur consultera la
+        directive default-src
+      

 

 
-
Syntaxe

+## Syntaxe
 
-
Une ou plusieurs sources peuvent être autorisées pour cette directive :

+Une ou plusieurs sources peuvent être autorisées pour cette directive :
 
-
Content-Security-Policy: connect-src <source>;
-Content-Security-Policy: connect-src <source> <source>;
-

+    Content-Security-Policy: connect-src ;
+    Content-Security-Policy: connect-src  ;
 
-
Sources

+### Sources
 
-
{{page("/fr/docs/Web/HTTP/Headers/Content-Security-Policy/default-src", "common_sources")}}

+{{page("/fr/docs/Web/HTTP/Headers/Content-Security-Policy/default-src", "common_sources")}}
 
-
Exemples

+## Exemples
 
-
Cas de violation

+### Cas de violation
 
-
Soit cet en-tête CSP :

+Soit cet en-tête CSP :
 
-
Content-Security-Policy: connect-src https://example.com/

+```bash
+Content-Security-Policy: connect-src https://example.com/
+```
 
-
Les connexions suivantes seront bloquées et ne se chargeront pas :

+Les connexions suivantes seront bloquées et ne se chargeront pas :
 
-
<a ping="https://not-example.com">
+```html
+
 
-<script>
+
+```
+
+## Spécifications
+
+| Spécification                                                                        | Statut                       | Commentaire          |
+| ------------------------------------------------------------------------------------ | ---------------------------- | -------------------- |
+| {{specName("CSP 3.0", "#directive-connect-src", "connect-src")}} | {{Spec2('CSP 3.0')}} | Inchangé.            |
+| {{specName("CSP 1.1", "#directive-connect-src", "connect-src")}} | {{Spec2('CSP 1.1')}} | Définition initiale. |
 
-
Compatibilité des navigateurs

+## Compatibilité des navigateurs
 
-
{{Compat("http.headers.csp.Content-Security-Policy.connect-src")}}

+{{Compat("http.headers.csp.Content-Security-Policy.connect-src")}}
 
-
Notes de compatibilité

+## Notes de compatibilité
 
-
    
- 
  • Avant Firefox 23, xhr-src était utilisé en lieu et place de la directive connect-src et ne s'appliquait qu'à l'API {{domxref("XMLHttpRequest")}}.
    • 
-

+- Avant Firefox 23, `xhr-src` était utilisé en lieu et place de la directive `connect-src` et ne s'appliquait qu'à l'API {{domxref("XMLHttpRequest")}}.
 
-
Voir aussi

+## Voir aussi
 
-
    
- 
  • {{HTTPHeader("Content-Security-Policy")}}
    • 
- 
  • {{HTMLElement("a")}} {{htmlattrxref("ping", "a")}}
    • 
- 
  • {{domxref("Fetch")}}
    • 
- 
  • {{domxref("XMLHttpRequest")}}
    • 
- 
  • {{domxref("WebSocket")}}
    • 
- 
  • {{domxref("EventSource")}}
    • 
-

+- {{HTTPHeader("Content-Security-Policy")}}
+- {{HTMLElement("a")}} {{htmlattrxref("ping", "a")}}
+- {{domxref("Fetch")}}
+- {{domxref("XMLHttpRequest")}}
+- {{domxref("WebSocket")}}
+- {{domxref("EventSource")}}
diff --git a/files/fr/web/http/headers/content-security-policy/default-src/index.md b/files/fr/web/http/headers/content-security-policy/default-src/index.md
index 9f2d9d6cb8..ac8590e5ce 100644
--- a/files/fr/web/http/headers/content-security-policy/default-src/index.md
+++ b/files/fr/web/http/headers/content-security-policy/default-src/index.md
@@ -14,108 +14,105 @@ tags:
   - source
 translation_of: Web/HTTP/Headers/Content-Security-Policy/default-src
 ---
-
{{HTTPSidebar}}

-
-
La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) default-src sert de valeur par défaut pour les autres directives CSP {{Glossary("fetch directive", "fetch directives")}}.

-
-
Pour chacune des directives suivantes, l'agent utilisateur consultera la directive default-src et utilisera sa valeur pour la directive demandée si celle-ci est absente :

-
-
    
- 
  • {{CSP("child-src")}}
    • 
- 
  • {{CSP("connect-src")}}
    • 
- 
  • {{CSP("font-src")}}
    • 
- 
  • {{CSP("frame-src")}}
    • 
- 
  • {{CSP("img-src")}}
    • 
- 
  • {{CSP("manifest-src")}}
    • 
- 
  • {{CSP("media-src")}}
    • 
- 
  • {{CSP("object-src")}}
    • 
- 
  • {{CSP("prefetch-src")}}
    • 
- 
  • {{CSP("script-src")}}
    • 
- 
  • {{CSP("script-src-elem")}}
    • 
- 
  • {{CSP("script-src-attr")}}
    • 
- 
  • {{CSP("style-src")}}
    • 
- 
  • {{CSP("style-src-elem")}}
    • 
- 
  • {{CSP("style-src-attr")}}
    • 
- 
  • {{CSP("worker-src")}}
    • 
-

+{{HTTPSidebar}}
+
+La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`default-src`** sert de valeur par défaut pour les autres directives CSP {{Glossary("fetch directive", "fetch directives")}}.
+
+Pour chacune des directives suivantes, l'agent utilisateur consultera la directive `default-src` et utilisera sa valeur pour la directive demandée si celle-ci est absente :
+
+- {{CSP("child-src")}}
+- {{CSP("connect-src")}}
+- {{CSP("font-src")}}
+- {{CSP("frame-src")}}
+- {{CSP("img-src")}}
+- {{CSP("manifest-src")}}
+- {{CSP("media-src")}}
+- {{CSP("object-src")}}
+- {{CSP("prefetch-src")}}
+- {{CSP("script-src")}}
+- {{CSP("script-src-elem")}}
+- {{CSP("script-src-attr")}}
+- {{CSP("style-src")}}
+- {{CSP("style-src-elem")}}
+- {{CSP("style-src-attr")}}
+- {{CSP("worker-src")}}
 
 
- 
-  
-   
-   
-  
-  
-   
-   
-  
- 
+  
+    
+      
+      
+    
+    
+      
+      
+    
+  
Version de CSP1
Type de directive{{Glossary("Fetch directive")}}
Version de CSP1
Type de directive{{Glossary("Fetch directive")}}

 

 
-
Syntaxe

-
-
Une ou plusieurs sources peuvent être autorisées pour cette directive :

-
-
Content-Security-Policy: default-src <source>;
-Content-Security-Policy: default-src <source> <source>;
-

-
-
Sources

-
-
La <source> peut être une des suivantes :

-
-

- 
<host-source>

- 
Des hôtes Internet par leur nom de domaine ou adresse IP, aussi bien qu'un protocole et/ou un numéro de port. L'adresse du site peut inclure un caractère de remplacement optionnel (l'astérisque '*'), qui ne peut être utilisée que pour indiquer un sous-domaine ou que tous les ports existants sont des sources valides.

- Exemples:
- 
    
-  
  • http://*.example.com: correspondra à toutes les tentatives d'accès pour tous les sous-domaines de example.com via le protocole http:.
    • 
-  
  • mail.example.com:443: correspondra à toutes les tentatives d'accès sur le port 443 de mail.example.com.
    • 
-  
  • https://store.example.com: correspondra à toutes les tentatives d'accès à store.example.com via le protocole https:.
    • 
-  
  • *.example.com: correspondra à toutes les tentatives d'accès pour tous les sous-domaines de example.com en utilisant le protocole courant.
    • 
- 

- 

- 
<scheme-source>

- 
Un protocole tel que http: ou https:. Les deux-points sont nécessaires. Contrairement à d'autres valeurs ci-bas, les guillemets ne devraient pas être employés. Vous pouvez aussi spécifier des schémas de données (quoi que ce ne soit pas recommandé).
- 
    
-  
  • data: permet aux URI data: d'être utilisées comme sources de contenu. Cette pratique manque de sécurité ; une personne malveillante peut aussi injecter des URI data: arbitraires. Utilisez cette valeur avec parcimonie certainement pas pour des scripts.
    • 
-  
  • mediastream: permet aux URI mediastream: d'être utilisées comme source de contenu.
    • 
-  
  • blob: permet aux URI blob: d'être utilisées comme source de contenu.
    • 
-  
  • filesystem: Allows URI filesystem: d'être utilisées comme source de contenu.
    • 
- 

- 

- 
'self'

- 
Cette valeur fait référence au domaine dont est originaire le document protégé, y compris le protocole et le numéro de port. Vous devez mettre cette valeur entre guillemets. Certains navigateurs excluent spécifiquement les valeurs blob et filesystem des directives de source. Les sites nécessitant une permission pour ces types de contenu peuvent les spécifier en utilisant l'attribut Data.

- 
'unsafe-eval'

- 
Permet l'usage de la fonction eval() et de méthodes similaires pour créer du code à partir de chaines de caractères. Vous devez mettre cette valeur entre guillemets.

- 
'unsafe-hashes'

- 
Permet l'usage de certains écouteurs d'évènements par attributs. Si vous n'avez besoin que d'écouteurs d'évènements par attributs et non d'éléments {{HTMLElement("script")}} embarqués ou d'URL javascript:, cette valeur est plus sécurisée que unsafe-inline.

- 
'unsafe-inline'

- 
Permet l'usage de ressources embarquées, tels que des éléments {{HTMLElement("script")}} (sans src), d'URL javascript:, de gestionnaire d'évènement par attributs (on<eventName>), et d'éléments {{HTMLElement("style")}}. Vous devez mettre cette valeur entre guillemets.

- 
'none'

- 
Aucune source n'est admise. Vous devez mettre cette valeur entre guillemets.

- 
'nonce-<base64-value>'

- 
Une liste de permissions pour des scripts embarqués spécifiques en utilisant un nonce (number used once, nombre à usage unique) cryptographique. Le serveur doit générer un nonce à chaque fois qu'il transmet une réponse. Il est extrèmement important de fournir des nonces non prédictibles, puisque le contraire permettrait aisément de contourner la stratégie de sécurité. Voir inline script non fiables pour avoir un exemple. Spécifier un nonce implique que les navigateurs modernes ignoreront la valeur 'unsafe-inline', qui peut toutefois être laissée pour les anciens navigateurs ne supportant pas les nonces.

- 
'<hash-algorithm>-<base64-value>'

- 
Un hash sha256, sha384 ou sha512 d'un <script> ou d'un <style>. Cette source est composée de deux parties séparées par un tiret : le nom de l'algorithme de chiffrage utilisé pour générer le hash à gauche et le hash encodé en base 64 à droite. Lors de la génération du hash, il ne faut pas inclure les balises <script> or <style> et tenir compte de la casse et des caractères blancs (espaces, retours à la ligne, etc.). Voir inline script non fiables pour en avoir un exemple. En CSP 2.0, cette valeur ne s'applique qu'aux scripts embarqués. CSP 3.0 le permet aussi dans le cas de scripts externes.

- 
'strict-dynamic'

- 
La valeur strict-dynamic spécifie que la confiance explicitement donnée à un script de la page, par le biais d'un nonce ou d'un hash, doit être propagée à tous les scripts chargés par celui-ci. En conséquence, toute les valeurs telles que 'self' ou 'unsafe-inline' et listes de permissions sont ignorées. Voir script-src pour en avoir un exemple.

- 
'report-sample'

- 
Requiert qu'un échantillon du code violant la directive soit inclus dans le rapport envoyé.

-

-
-
-
Exemples

-
-
Absence d'héritage avec default-src

-
-
S'il y a d'autres directives spécifiées, default-src ne les affecte pas. Soit l'en-tête suivant :

-
-
Content-Security-Policy: default-src 'self'; script-src https://example.com

-
-
Est identique à :

-
-
Content-Security-Policy: connect-src 'self';
+## Syntaxe
+
+Une ou plusieurs sources peuvent être autorisées pour cette directive :
+
+    Content-Security-Policy: default-src ;
+    Content-Security-Policy: default-src  ;
+
+### Sources
+
+La \ peut être une des suivantes :
+
+- \
+
+  - : Des hôtes Internet par leur nom de domaine ou adresse IP, aussi bien qu'un [protocole](/en-US/docs/URIs_and_URLs) et/ou un numéro de port. L'adresse du site peut inclure un caractère de remplacement optionnel (l'astérisque `'*'`), qui ne peut être utilisée que pour indiquer un sous-domaine ou que tous les ports existants sont des sources valides.
+    Exemples:
+
+    - `http://*.example.com`: correspondra à toutes les tentatives d'accès pour tous les sous-domaines de example.com via le protocole `http:`.
+    - `mail.example.com:443`: correspondra à toutes les tentatives d'accès sur le port 443 de mail.example.com.
+    - `https://store.example.com`: correspondra à toutes les tentatives d'accès à store.example.com via le protocole `https:`.
+    - `*.example.com`: correspondra à toutes les tentatives d'accès pour tous les sous-domaines de example.com en utilisant le protocole courant.
+
+- \
+
+  - : Un protocole tel que `http:` ou `https:`. Les deux-points sont nécessaires. Contrairement à d'autres valeurs ci-bas, les guillemets ne devraient pas être employés. Vous pouvez aussi spécifier des schémas de données (quoi que ce ne soit pas recommandé).
+
+    - `data:` permet aux [URI `data:`](/en-US/docs/Web/HTTP/Basics_of_HTTP/Data_URIs) d'être utilisées comme sources de contenu. _Cette pratique manque de sécurité ; une personne malveillante peut aussi injecter des URI data: arbitraires. Utilisez cette valeur avec parcimonie certainement pas pour des scripts._
+    - `mediastream:` permet aux [URI `mediastream:`](/en-US/docs/Web/API/MediaStream_API) d'être utilisées comme source de contenu.
+    - `blob:` permet aux [URI `blob:`](/en-US/docs/Web/API/Blob) d'être utilisées comme source de contenu.
+    - `filesystem:` Allows [URI `filesystem:`](/en-US/docs/Web/API/FileSystem) d'être utilisées comme source de contenu.
+
+- `'self'`
+  - : Cette valeur fait référence au domaine dont est originaire le document protégé, y compris le protocole et le numéro de port. Vous devez mettre cette valeur entre guillemets. Certains navigateurs excluent spécifiquement les valeurs `blob` et `filesystem` des directives de source. Les sites nécessitant une permission pour ces types de contenu peuvent les spécifier en utilisant l'attribut Data.
+- `'unsafe-eval'`
+  - : Permet l'usage de la fonction `eval()` et de méthodes similaires pour créer du code à partir de chaines de caractères. Vous devez mettre cette valeur entre guillemets.
+- `'unsafe-hashes'`
+  - : Permet l'usage de certains [écouteurs d'évènements](/en-US/docs/Web/Guide/Events/Event_handlers) par attributs. Si vous n'avez besoin que d'écouteurs d'évènements par attributs et non d'éléments {{HTMLElement("script")}} embarqués ou d'URL `javascript:`, cette valeur est plus sécurisée que `unsafe-inline`.
+- `'unsafe-inline'`
+  - : Permet l'usage de ressources embarquées, tels que des éléments {{HTMLElement("script")}} (sans `src`), d'URL `javascript:`, de gestionnaire d'évènement par attributs (`on`), et d'éléments {{HTMLElement("style")}}. Vous devez mettre cette valeur entre guillemets.
+- `'none'`
+  - : Aucune source n'est admise. Vous devez mettre cette valeur entre guillemets.
+- 'nonce-\'
+  - : Une liste de permissions pour des scripts embarqués spécifiques en utilisant un nonce (_number used once_, nombre à usage unique) cryptographique. Le serveur doit générer un nonce à chaque fois qu'il transmet une réponse. Il est extrèmement important de fournir des nonces non prédictibles, puisque le contraire permettrait aisément de contourner la stratégie de sécurité. Voir [inline script non fiables](/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src#Unsafe_inline_script) pour avoir un exemple. Spécifier un nonce implique que les navigateurs modernes ignoreront la valeur `'unsafe-inline'`, qui peut toutefois être laissée pour les anciens navigateurs ne supportant pas les nonces.
+- '\-\'
+  - : Un hash sha256, sha384 ou sha512 d'un `
+```
 
-
Toutefois, ce script sera bloqué car il n'utilise pas cet attribut :

+Toutefois, ce script sera bloqué car il n'utilise pas cet attribut :
 
-
<script src="https://code.jquery.com/jquery-3.1.1.slim.js"></script>

+```html example-bad
+
+```
 
-
Compatibilité des navigateurs

+## Compatibilité des navigateurs
 
-
{{Compat("http.headers.csp.Content-Security-Policy.require-sri-for")}}

+{{Compat("http.headers.csp.Content-Security-Policy.require-sri-for")}}
 
-
Voir aussi

+## Voir aussi
 
-
+- {{HTTPHeader("Content-Security-Policy")}}
+- [Subresource Integrity](/en-US/docs/Web/Security/Subresource_Integrity)
diff --git a/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.md b/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.md
index fea32fdcd9..aa47591d59 100644
--- a/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.md
+++ b/files/fr/web/http/headers/content-security-policy/require-trusted-types-for/index.md
@@ -13,76 +13,57 @@ tags:
   - source
 translation_of: Web/HTTP/Headers/Content-Security-Policy/require-trusted-types-for
 ---
-
{{HTTPSidebar}}

+{{HTTPSidebar}}
 
-
La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) require-trusted-types-for {{experimental_inline}} directive informe l'agent utilisateur de contrôler les données passées au puits de fonctions XSS du DOM, tel que le mutateur Element.innerHTML.

+La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`require-trusted-types-for`** {{experimental_inline}} directive informe l'agent utilisateur de contrôler les données passées au puits de fonctions XSS du DOM, tel que le mutateur [Element.innerHTML](/en-US/docs/Web/API/Element/innerHTML).
 
-
Lors de leur usage, ces fonctions n'acceptent que des valeurs typées et non falsifiables créées par des règles de Trusted Type et rejettent les chaines de caractère. Conjointement à la directive trusted-types, qui empêche la création de règles de Trusted Type, cette directive permet aux auteurs de définir des règles empêchant d'écrire des données dans le DOM et donc de réduire  la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture.

+Lors de leur usage, ces fonctions n'acceptent que des valeurs typées et non falsifiables créées par des règles de Trusted Type et rejettent les chaines de caractère. Conjointement à la directive **[`trusted-types`](/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/trusted-types)**, qui empêche la création de règles de Trusted Type, cette directive permet aux auteurs de définir des règles empêchant d'écrire des données dans le DOM et donc de réduire la fenêtre de tir pour les attaques XSS sur le DOM à quelques pans isolés de la base de code d'une application, facilitant donc son contrôle et sa relecture.
 
-
Syntaxe

+## Syntaxe
 
-
Content-Security-Policy: require-trusted-types-for 'script';
-

+    Content-Security-Policy: require-trusted-types-for 'script';
 
-

- 
'script'

- 
Interdit l'usage de chaine de caractères avec les fonctions du puits d'injection XSS du DOM, et requiert que les types correspondant soient créés par des règles de Trusted Type.

-

+- `'script'`
+  - : Interdit l'usage de chaine de caractères avec les fonctions du puits d'injection XSS du DOM, et requiert que les types correspondant soient créés par des règles de Trusted Type.
 
-
Exemples

+## Exemples
 
-
// Content-Security-Policy: require-trusted-types-for 'script'; trusted-types foo;
+```js
+// Content-Security-Policy: require-trusted-types-for 'script'; trusted-types foo;
 
-const attackerInput = '<svg onload="alert(/cross-site-scripting/)" />';
+const attackerInput = '';
 const el = document.createElement('div');
 
 if (typeof trustedTypes !== 'undefined') {
   // Create a policy that can create TrustedHTML values
   // after sanitizing the input strings with DOMPurify library.
   const sanitizer = trustedTypes.createPolicy('foo', {
-    createHTML: (input) => DOMPurify.sanitize(input)
+    createHTML: (input) => DOMPurify.sanitize(input)
   });
 
   el.innerHTML = sanitizer.createHTML(attackerInput);  // Puts the sanitized value into the DOM.
   el.innerHTML = attackerInput;                        // Rejects a string value; throws a TypeError.
 }
-

+```
 
-
Prothèse d'émulaiton

+## Prothèse d'émulaiton
 
-
Une prothèse d'émulation pour les Trusted Types est disponible sur Github.

+Une [prothèse d'émulation pour les Trusted Types](https://github.com/w3c/webappsec-trusted-types#polyfill) est disponible sur Github.
 
-
Spécifications

+## Spécifications
 
-
- 
-  
-   
-   
-   
-  
- 
- 
-  
-   
-   
-   
-  
- 
-
SpécificationStatutCommentaire
Trusted TypesDraftDéfinition initiale.

+| Spécification                                                             | Statut | Commentaire          |
+| ------------------------------------------------------------------------- | ------ | -------------------- |
+| [Trusted Types](https://w3c.github.io/webappsec-trusted-types/dist/spec/) | Draft  | Définition initiale. |
 
-
Compatibilité des navigateurs

+## Compatibilité des navigateurs
 
+{{Compat("http.headers.csp.Content-Security-Policy.trusted-types")}}
 
+## Voir aussi
 
-
{{Compat("http.headers.csp.Content-Security-Policy.trusted-types")}}

-
-
Voir aussi

-
-
+- {{HTTPHeader("Content-Security-Policy")}}
+- [Cross-Site Scripting (XSS)](/en-US/docs/Glossary/Cross-site_scripting)
+- [DOM XSS injection sinks covered by Trusted Types](https://w3c.github.io/webappsec-trusted-types/dist/spec/#injection-sinks)
+- [Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types](https://web.dev/trusted-types)
+- Trusted Types with [DOMPurify](https://github.com/cure53/DOMPurify#what-about-dompurify-and-trusted-types) XSS sanitizer
diff --git a/files/fr/web/http/headers/content-security-policy/sandbox/index.md b/files/fr/web/http/headers/content-security-policy/sandbox/index.md
index 626398f914..956d2452ca 100644
--- a/files/fr/web/http/headers/content-security-policy/sandbox/index.md
+++ b/files/fr/web/http/headers/content-security-policy/sandbox/index.md
@@ -11,99 +11,85 @@ tags:
   - Sécurité
 translation_of: Web/HTTP/Headers/Content-Security-Policy/sandbox
 ---
-
{{HTTPSidebar}}

+{{HTTPSidebar}}
 
-
La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) sandbox active un bac à sable (sandbox) pour les ressources demandées similaire à l'attribut {{htmlattrxref("sandbox", "iframe")}} des éléments {{HTMLElement("iframe")}}. Elle applique des restrictions aux actions d'une page, dont le fait d'empêcher les fenêtres intruses (popups) et l'exécution de greffons et de scripts et de créer une contrainte de même origine.

+La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`sandbox`** active un bac à sable (_sandbox_) pour les ressources demandées similaire à l'attribut {{htmlattrxref("sandbox", "iframe")}} des éléments {{HTMLElement("iframe")}}. Elle applique des restrictions aux actions d'une page, dont le fait d'empêcher les fenêtres intruses (_popups_) et l'exécution de greffons et de scripts et de créer une contrainte de même origine.
 
 
- 
-  
-   
-   
-  
-  
-   
-   
-  
-  
-   
-  
- 
+  
+    
+      
+      
+    
+    
+      
+      
+    
+    
+      
+    
+  
Version de CSP1.1 / 2
Type de directive{{Glossary("Document directive")}}
Cette directive n'est pas supportée dans l'élément {{HTMLElement("meta")}} ou par l'en-tête {{HTTPHeader("Content-Security-policy-Report-Only")}}.
Version de CSP1.1 / 2
Type de directive{{Glossary("Document directive")}}

+        Cette directive n'est pas supportée dans l'élément
+        {{HTMLElement("meta")}} ou par l'en-tête
+        {{HTTPHeader("Content-Security-policy-Report-Only")}}.
+      

 

 
-
Syntaxe

-
-
Content-Security-Policy: sandbox;
-Content-Security-Policy: sandbox <valeur>;
-

-
-
<valeur> peut optionnellement être une valeur parmi :

-
-

- 
allow-downloads-without-user-activation {{experimental_inline}}

- 
Autorise les téléchargements sans action de l'utilisateur.

-

-
-

- 
allow-forms

- 
Autorise la soumission de de formulaires. Si ce mot-clé n'est pas spécifié, cette opération est interdite.

- 
allow-modals

- 
Autorise la page à ouvrir des fenêtres modales.

- 
allow-orientation-lock

- 
Autorise la page à désactiver la possibilité de verrouiller l'orientation de l'écran.

- 
allow-pointer-lock

- 
Autorise la page à utiliser l'API Pointer Lock.

- 
allow-popups

- 
Autorise les fenêtres intruses (comme avec window.open, target="_blank", showModalDialog). Si ce mot-clé n'est pas utilisée, cette fonctionnalité échouera en silence.

- 
allow-popups-to-escape-sandbox

- 
Autorise un document cloisonné dans une bac à sable à ouvrir de nouvelles fenêtres sans les contraindre à appliquer les mêmes règles. Cela permettra, par exemple, à une publicité externe d'être sainement cloisonnée sans imposer les mêmes restrictions sur une page d'accueil.

- 
allow-presentation

- 
Autorise les pages embarquantes à avoir contrôle sur la possibilité pour l'iframe de démarrer une session de présentation ou non.

- 
allow-same-origin

- 
Autorise le contenu à être traité comme étant de son origine normale. Si ce mot-clé n'est pas utilisé, les contenu embarqués seront traités comme étant d'une origine unique.

- 
allow-scripts

- 
Autorise la page à exécuter des scripts (mais non créer des fenêtres intruses). Si ce mot-clé n'est pas utilisée, cette opération n'est pas permise.

- 
allow-storage-access-by-user-activation {{experimental_inline}}

- 
Laisse les requêtes de ressources accéder à l'espace de stockage du parent avec l'API Storage Access.

- 
allow-top-navigation

- 
Autorise la page à charger du contenu au niveau supérieur de contexte navigationnel. Si ce mot-clé n'est pas utilisé, cette opération n'est pas permise.

- 
allow-top-navigation-by-user-activation

- 
Laisse la ressource naviguer jusqu'au niveau supérieur de contexte navigationnel, mais seulement si initié par une aciton de l'utilisateur.

-

-
-
Exemples

-
-
Content-Security-Policy: sandbox allow-scripts;

-
-
Spécifications

-
-
- 
-  
-   
-   
-   
-  
-  
-   
-   
-   
-  
-  
-   
-   
-   
-  
- 
-
SpécificationStatutCommentaire
{{specName("CSP 3.0", "#directive-sandbox", "sandbox")}}{{Spec2('CSP 3.0')}}Inchangé.
{{specName("CSP 1.1", "#directive-sandbox", "sandbox")}}{{Spec2('CSP 1.1')}}Définition initiale.

+## Syntaxe
+
+    Content-Security-Policy: sandbox;
+    Content-Security-Policy: sandbox ;
+
+Où `` peut optionnellement être une valeur parmi :
+
+- `allow-downloads-without-user-activation` {{experimental_inline}}
+  - : Autorise les téléchargements sans action de l'utilisateur.
+
+
+
+- `allow-forms`
+  - : Autorise la soumission de de formulaires. Si ce mot-clé n'est pas spécifié, cette opération est interdite.
+- `allow-modals`
+  - : Autorise la page à ouvrir des fenêtres modales.
+- `allow-orientation-lock`
+  - : Autorise la page à désactiver la possibilité de verrouiller l'orientation de l'écran.
+- `allow-pointer-lock`
+  - : Autorise la page à utiliser l'[API Pointer Lock](/en-US/docs/WebAPI/Pointer_Lock).
+- `allow-popups`
+  - : Autorise les fenêtres intruses (comme avec `window.open`, `target="_blank"`, `showModalDialog`). Si ce mot-clé n'est pas utilisée, cette fonctionnalité échouera en silence.
+- `allow-popups-to-escape-sandbox`
+  - : Autorise un document cloisonné dans une bac à sable à ouvrir de nouvelles fenêtres sans les contraindre à appliquer les mêmes règles. Cela permettra, par exemple, à une publicité externe d'être sainement cloisonnée sans imposer les mêmes restrictions sur une page d'accueil.
+- `allow-presentation`
+  - : Autorise les pages embarquantes à avoir contrôle sur la possibilité pour l'iframe de démarrer une session de présentation ou non.
+- `allow-same-origin`
+  - : Autorise le contenu à être traité comme étant de son origine normale. Si ce mot-clé n'est pas utilisé, les contenu embarqués seront traités comme étant d'une origine unique.
+- `allow-scripts`
+  - : Autorise la page à exécuter des scripts (mais non créer des fenêtres intruses). Si ce mot-clé n'est pas utilisée, cette opération n'est pas permise.
+- `allow-storage-access-by-user-activation` {{experimental_inline}}
+  - : Laisse les requêtes de ressources accéder à l'espace de stockage du parent avec l'[API Storage Access](/en-US/docs/Web/API/Storage_Access_API).
+- `allow-top-navigation`
+  - : Autorise la page à charger du contenu au niveau supérieur de contexte navigationnel. Si ce mot-clé n'est pas utilisé, cette opération n'est pas permise.
+- `allow-top-navigation-by-user-activation`
+  - : Laisse la ressource naviguer jusqu'au niveau supérieur de contexte navigationnel, mais seulement si initié par une aciton de l'utilisateur.
+
+## Exemples
+
+```bash
+Content-Security-Policy: sandbox allow-scripts;
+```
+
+## Spécifications
+
+| Spécification                                                                | Statut                       | Commentaire          |
+| ---------------------------------------------------------------------------- | ---------------------------- | -------------------- |
+| {{specName("CSP 3.0", "#directive-sandbox", "sandbox")}} | {{Spec2('CSP 3.0')}} | Inchangé.            |
+| {{specName("CSP 1.1", "#directive-sandbox", "sandbox")}} | {{Spec2('CSP 1.1')}} | Définition initiale. |
 
-
Compatibilité des navigateurs

+## Compatibilité des navigateurs
 
-
{{Compat("http.headers.csp.Content-Security-Policy.sandbox")}}

+{{Compat("http.headers.csp.Content-Security-Policy.sandbox")}}
 
-
Voir aussi

+## Voir aussi
 
-
    
- 
  • {{HTTPHeader("Content-Security-Policy")}}
    • 
- 
  • {{htmlattrxref("sandbox", "iframe")}} attribute on {{HTMLElement("iframe")}} elements
    • 
-

+- {{HTTPHeader("Content-Security-Policy")}}
+- {{htmlattrxref("sandbox", "iframe")}} attribute on {{HTMLElement("iframe")}} elements
diff --git a/files/fr/web/http/headers/content-security-policy/script-src-attr/index.md b/files/fr/web/http/headers/content-security-policy/script-src-attr/index.md
index d08a6f4e57..e0d25ed7db 100644
--- a/files/fr/web/http/headers/content-security-policy/script-src-attr/index.md
+++ b/files/fr/web/http/headers/content-security-policy/script-src-attr/index.md
@@ -16,79 +16,66 @@ tags:
   - source
 translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src-attr
 ---
-
{{HTTPSidebar}}

+{{HTTPSidebar}}
 
-
La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) script-src-attr spécifie les sources valides pour du code JavaScript embarqué dans des éléments {{HTMLElement("script")}} ou dans des gestionnaires d'évènements par attribut comme onclick, mais non les URL chargées par des éléments {{HTMLElement("script")}}.

+La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`script-src-attr`** spécifie les sources valides pour du code JavaScript embarqué dans des éléments {{HTMLElement("script")}} ou dans des gestionnaires d'évènements par attribut comme `onclick`, mais non les URL chargées par des éléments {{HTMLElement("script")}}.
 
 
- 
-  
-   
-   
-  
-  
-   
-   
-  
-  
-   
-   
-  
- 
+  
+    
+      
+      
+    
+    
+      
+      
+    
+    
+      
+      
+    
+  
Version de CSP3
Type de directive{{Glossary("Fetch directive")}}
{{CSP("default-src")}} par défautOui, si cette directive est absente, l'agent utilisateur consultera la directive {{CSP("script-src")}}, qui a pour valeur par défaut celle de la directive default-src
Version de CSP3
Type de directive{{Glossary("Fetch directive")}}
{{CSP("default-src")}} par défaut
+        Oui, si cette directive est absente, l'agent utilisateur consultera la
+        directive {{CSP("script-src")}}, qui a pour valeur par défaut
+        celle de la directive default-src
+      

 

 
-
Syntaxe

+## Syntaxe
 
-
Une ou plusieurs sources peuvent être autorisées pour cette directive :

+Une ou plusieurs sources peuvent être autorisées pour cette directive :
 
-
Content-Security-Policy: script-src-attr <source>;
-Content-Security-Policy: script-src-attr <source> <source>;
-

+    Content-Security-Policy: script-src-attr ;
+    Content-Security-Policy: script-src-attr  ;
 
-
script-src-attr  peut être utilisée conjointement à  {{CSP("script-src")}} :

+`script-src-attr`  peut être utilisée conjointement à  {{CSP("script-src")}} :
 
-
Content-Security-Policy: script-src <source>;
-Content-Security-Policy: script-src-attr <source>;
-

+    Content-Security-Policy: script-src ;
+    Content-Security-Policy: script-src-attr ;
 
-
Sources

+### Sources
 
-
{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}

+{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}
 
-
Exemples

+## Exemples
 
-
Valeur par défaut avec script-src

+### Valeur par défaut avec script-src
 
-
Si la directive script-src-attr est absente, l'agent utilisateur se rabat sur la valeur de la directive {{CSP("script-src")}}, qui elle-même a pour valeur par défaut celle de la directive {{CSP("default-src")}}.

+Si la directive `script-src-attr` est absente, l'agent utilisateur se rabat sur la valeur de la directive {{CSP("script-src")}}, qui elle-même a pour valeur par défaut celle de la directive {{CSP("default-src")}}.
 
-
Spécifications

+## Spécifications
 
-
- 
-  
-   
-   
-   
-  
- 
- 
-  
-   
-   
-   
-  
- 
-
SpécificationStatutCommentaire
{{specName("CSP 3.0", "#directive-script-src-attr", "script-src-attr")}}{{Spec2("CSP 3.0")}}Définition initiale.

+| Spécification                                                                                    | Statut                       | Commentaire          |
+| ------------------------------------------------------------------------------------------------ | ---------------------------- | -------------------- |
+| {{specName("CSP 3.0", "#directive-script-src-attr", "script-src-attr")}} | {{Spec2("CSP 3.0")}} | Définition initiale. |
 
-
Compatibilité des navigateurs

+## Compatibilité des navigateurs
 
-
{{Compat("http.headers.csp.Content-Security-Policy.script-src-attr")}}

+{{Compat("http.headers.csp.Content-Security-Policy.script-src-attr")}}
 
-
Voir aussi

+## Voir aussi
 
-
    
- 
  • {{HTTPHeader("Content-Security-Policy")}}
    • 
- 
  • {{HTMLElement("script")}}
    • 
- 
  • {{CSP("script-src")}}
    • 
- 
  • {{CSP("script-src-elem")}}
    • 
-

+- {{HTTPHeader("Content-Security-Policy")}}
+- {{HTMLElement("script")}}
+- {{CSP("script-src")}}
+- {{CSP("script-src-elem")}}
diff --git a/files/fr/web/http/headers/content-security-policy/script-src-elem/index.md b/files/fr/web/http/headers/content-security-policy/script-src-elem/index.md
index 7d29bbef41..371af81c94 100644
--- a/files/fr/web/http/headers/content-security-policy/script-src-elem/index.md
+++ b/files/fr/web/http/headers/content-security-policy/script-src-elem/index.md
@@ -16,81 +16,66 @@ tags:
   - source
 translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src-elem
 ---
-
{{HTTPSidebar}}

+{{HTTPSidebar}}
 
-
La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) script-src-elem spécifie les sources valides pour des éléments {{HTMLElement("script")}} JavaScript, mais non pour des scripts embarqués ou des gestionnaire d'évènements par attribut comme onclick.

+La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`script-src-elem`** spécifie les sources valides pour des éléments {{HTMLElement("script")}} JavaScript, mais non pour des scripts embarqués ou des gestionnaire d'évènements par attribut comme `onclick`.
 
 
- 
-  
-   
-   
-  
-  
-   
-   
-  
-  
-   
-   
-  
- 
+  
+    
+      
+      
+    
+    
+      
+      
+    
+    
+      
+      
+    
+  
Version de CSP3
Type de directive{{Glossary("Fetch directive")}}
{{CSP("default-src")}} par défautOui, si cette directive est absente, l'agent utilisateur consultera la directive {{CSP("script-src")}}, qui a pour valeur par défaut celle de la directive default-src
Version de CSP3
Type de directive{{Glossary("Fetch directive")}}
{{CSP("default-src")}} par défaut
+        Oui, si cette directive est absente, l'agent utilisateur consultera la
+        directive {{CSP("script-src")}}, qui a pour valeur par défaut
+        celle de la directive default-src
+      

 

 
-
Syntaxe

+## Syntaxe
 
-
Une ou plusieurs sources peuvent être autorisées pour cette directive :

+Une ou plusieurs sources peuvent être autorisées pour cette directive :
 
-
Content-Security-Policy: script-src-elem <source>;
-Content-Security-Policy: script-src-elem <source> <source>;
-

+    Content-Security-Policy: script-src-elem ;
+    Content-Security-Policy: script-src-elem  ;
 
-
script-src-elem peut être utilisée conjointement à {{CSP("script-src")}} :

+`script-src-elem` peut être utilisée conjointement à {{CSP("script-src")}} :
 
-
Content-Security-Policy: script-src <source>;
-Content-Security-Policy: script-src-elem <source>;
-

+    Content-Security-Policy: script-src ;
+    Content-Security-Policy: script-src-elem ;
 
-
Sources

+### Sources
 
-
{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}

+{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}
 
-
Exemples

+## Exemples
 
-
Valeur par défaut avec script-src

+### Valeur par défaut avec script-src
 
-
Si la directive script-src-elem est absente, l'agent utilisateur se rabat sur la valeur de la directive {{CSP("script-src")}}, qui elle-même a pour valeur par défaut celle de la directive {{CSP("default-src")}}.

+Si la directive `script-src-elem` est absente, l'agent utilisateur se rabat sur la valeur de la directive {{CSP("script-src")}}, qui elle-même a pour valeur par défaut celle de la directive {{CSP("default-src")}}.
 
-
Spécifications

-
-
- 
-  
-   
-   
-   
-  
- 
- 
-  
-   
-   
-   
-  
- 
-
SpécificationStatutCommentaire
{{specName("CSP 3.0", "#directive-script-src-elem", "script-src-elem")}}{{Spec2("CSP 3.0")}}Définition initiale.

-
-
Compatibilité des navigateurs

+## Spécifications
 
+| Spécification                                                                                    | Statut                       | Commentaire          |
+| ------------------------------------------------------------------------------------------------ | ---------------------------- | -------------------- |
+| {{specName("CSP 3.0", "#directive-script-src-elem", "script-src-elem")}} | {{Spec2("CSP 3.0")}} | Définition initiale. |
 
+## Compatibilité des navigateurs
 
-
{{Compat("http.headers.csp.Content-Security-Policy.script-src-elem")}}

+{{Compat("http.headers.csp.Content-Security-Policy.script-src-elem")}}
 
-
Voir aussi

+## Voir aussi
 
-
    
- 
  • {{HTTPHeader("Content-Security-Policy")}}
    • 
- 
  • {{HTMLElement("script")}}
    • 
- 
  • {{CSP("script-src")}}
    • 
- 
  • {{CSP("script-src-attr")}}
    • 
-

+- {{HTTPHeader("Content-Security-Policy")}}
+- {{HTMLElement("script")}}
+- {{CSP("script-src")}}
+- {{CSP("script-src-attr")}}
diff --git a/files/fr/web/http/headers/content-security-policy/script-src/index.md b/files/fr/web/http/headers/content-security-policy/script-src/index.md
index a6b2659ae9..03f6414e8c 100644
--- a/files/fr/web/http/headers/content-security-policy/script-src/index.md
+++ b/files/fr/web/http/headers/content-security-policy/script-src/index.md
@@ -15,162 +15,163 @@ tags:
   - source
 translation_of: Web/HTTP/Headers/Content-Security-Policy/script-src
 ---
-
{{HTTPSidebar}}

+{{HTTPSidebar}}
 
-
La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) script-src spécifie les sources valides pour du code JavaScript. Cela inclut non seulement les URL chargées directement par les éléments {{HTMLElement("script")}}, mais aussi les scripts embarqués, les attributs de gestion d'évènements (onclick) et les feuilles de style XSLT pouvant déclencher l'exécution de scripts.

+La directive HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP) **`script-src`** spécifie les sources valides pour du code JavaScript. Cela inclut non seulement les URL chargées directement par les éléments {{HTMLElement("script")}}, mais aussi les scripts embarqués, les attributs de gestion d'évènements (`onclick`) et [les feuilles de style XSLT](/en-US/docs/Web/XSLT) pouvant déclencher l'exécution de scripts.
 
 
- 
-  
-   
-   
-  
-  
-   
-   
-  
-  
-   
-   
-  
- 
+  
+    
+      
+      
+    
+    
+      
+      
+    
+    
+      
+      
+    
+  
Version de CSP1
Type de directive{{Glossary("Fetch directive")}}
{{CSP("default-src")}} par défautOui, si cette directive est absente, l'agent utilisateur consultera la directive default-src
Version de CSP1
Type de directive{{Glossary("Fetch directive")}}
{{CSP("default-src")}} par défaut
+        Oui, si cette directive est absente, l'agent utilisateur consultera la
+        directive default-src
+      

 

 
-
Syntaxe

+## Syntaxe
 
-
Une ou plusieurs sources peuvent être autorisées pour cette directive :

+Une ou plusieurs sources peuvent être autorisées pour cette directive :
 
-
Content-Security-Policy: script-src <source>;
-Content-Security-Policy: script-src <source> <source>;
-

+    Content-Security-Policy: script-src ;
+    Content-Security-Policy: script-src  ;
 
-
Sources

+### Sources
 
-
{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}

+{{page("fr/Web/HTTP/Headers/Content-Security-Policy/default-src", "Sources")}}
 
-
Exemples

+## Exemples
 
-
Cas de violation

+### Cas de violation
 
-
Soit cet en-tête CSP :

+Soit cet en-tête CSP :
 
-
Content-Security-Policy: script-src https://example.com/

+```bash
+Content-Security-Policy: script-src https://example.com/
+```
 
-
Ces scripts seront bloqués et ne seront pas chargés ou exécutés :

+Ces scripts seront bloqués et ne seront pas chargés ou exécutés :
 
-
<script src="https://not-example.com/js/library.js"></script>

+```html
+
+```
 
-
Notez que les gestionnaires d'évènements par attributs sont aussi bloqués :

+Notez que les gestionnaires d'évènements par attributs sont aussi bloqués :
 
-
<button id="btn" onclick="doSomething()">

+```html
+