Lutte contre les attaques en cross scripting

Newbipastaper

WRInaute discret
Hello,

Suite au passage de mon site sur Dareboost, celui-ci me recommande de mettre en place le code suivant dans le htaccess :

<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'self' https://www.google.com"
</IfModule>

Ce code a pour but de prévenir les attaques par script sur le site.

Problème, une fois mis en place, il me "shoote" de Google Analytics : plus aucune stat ou presque (quelques visites sont visibles, sans aucune cohérence) !

Avez vous un "trick" pour pouvoir corriger ça ?

Merci :)
 

Bigb06

WRInaute impliqué
En fait il faut faire attention avec cette directive et bien comprendre le but : elle indique au navigateur d'exclure du chargement toutes les ressources ne provenant pas des domaines listés
vu que le script google analytics est chargé via le domaine http://www.google-analytics.com/ il faut inclure ce domaine, ainsi que ceux pour les scripts externes, pubs ... A mon avis a mettre de coté et bien réfléchir avant de mettre cette directive en place. Il faut lister tous les domaines qui chargent des ressources externes au risque de bloquer l'accès à certaines pages !
 

Discussions similaires

Haut