WRInaute discret
Bonjour à tous,
Réalisant un peu de MaJ sur le serveur avec des migrations https, je fais le tour de la conf et passe par un test Dareboost, qui me mentionne les headers de sécurité manque dont Content-Security-Policy
Je pense donc ajouter cette instruction mais sachant que j'ai sur des parties du site:
Content-Security-Policy-Report-Only:"default-src 'none';script-src 'self' www.google-analytics.com ajax.googleapis.com apis.google.com assets.pinterest.com platform.twitter.com;img-src www.google-analytics.com;style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;font-src 'self' https://fonts.gstatic.com data:form-action 'self':report-uri /report-uri.php"
Du coup je me demande si il y aura pas un impact sur les perf, sachant que cela alourdi le header de 455o?
Réalisant un peu de MaJ sur le serveur avec des migrations https, je fais le tour de la conf et passe par un test Dareboost, qui me mentionne les headers de sécurité manque dont Content-Security-Policy
Je pense donc ajouter cette instruction mais sachant que j'ai sur des parties du site:
- Font google
- bouton facebook/twitter/G+/twitter
- Analytics
Content-Security-Policy-Report-Only:"default-src 'none';script-src 'self' www.google-analytics.com ajax.googleapis.com apis.google.com assets.pinterest.com platform.twitter.com;img-src www.google-analytics.com;style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;font-src 'self' https://fonts.gstatic.com data:form-action 'self':report-uri /report-uri.php"
Du coup je me demande si il y aura pas un impact sur les perf, sachant que cela alourdi le header de 455o?