Picto thématique

Règle n° 207 - Le site propose un mécanisme de sécurité permettant de restreindre l'origine des contenus.

Le serveur envoie une page contenant divers éléments (fichiers JavaScript, CSS, webfonts, etc.) au navigateur, qui va se charger de télécharger et d’afficher le tout, le mieux et le plus vite possible… sans se poser de questions sur la légitimité de ce qu’il fait. Le système nommé Content Security Policy permet d’indiquer au navigateur des règles concernant l’origine de ces contenus. Cela permet de déterminer précisément ce qu’il aura le droit d’exécuter ou d’afficher, et cela renforce donc la sécurité pour les utilisateurs.

#Sécurité #Développement

Objectif

  • Réduire les risques d’exécution ou d’affichage d’un contenu non désirable ou d’une source non autorisée.

Mise en œuvre

Activer l’en-tête HTTP Content-Security-Policy avec les directives CSP 1 appropriées :
  • img-src pour les images ;
  • script-src pour le JavaScript ;
  • style-src pour les styles CSS ;
  • font-src pour les webfonts ;
  • etc.

Contrôle

Vérifier, à l’aide d’un outil d’inspection des en-têtes HTTP, la présence de l’en-tête Content-Security-Policy.

Auteur Opquast - Consulter la licence

Suivez la formation et passez la certification Opquast 100% en ligne.

La formation Maîtrise de la qualité en projet Web permet aux professionnels du web de travailler plus efficacement au sein d’équipes multidisciplinaires. Apprenez un vocabulaire, un cadre de travail et un état d’esprit communs pour produire des produits web de meilleure qualité et améliorer l’expérience utilisateur.

  • Une formation en ligne de 14 heures en autonomie, disponible 24h/24, 7j/7
  • Pour tous les professionnels du Web : marketing, commerciaux, chefs de projet, designers, développeurs, ingénieurs informatiques.
  • Une approche multidisciplinaire : SEO, accessibilité, écoconception…
    Pour tous les professionnels, débutants comme confirmés.
  • Un contenu reposant sur des bonnes pratiques et un vocabulaire adopté par une large communauté de professionnels
  • Des principes de conception centrés sur la diversité des utilisateurs
  • Déjà plus de 11.500 certifiés