Entête CSP Apache

De Docaposte Cyberdéfense
Révision datée du 7 août 2018 à 11:08 par Gbellanger (discussion | contributions)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à : navigation, rechercher

Pour mettre en place cette entête au niveau de Apache

Créer une irule avec la configuration suivante:

Cette configuration est spécifique a votre plateforme, elle doit inclure les éventuels liens vers des sites externes. Par exemple, si vous avez intégré une carte google maps il sera nécessaire de l'inclure dans votre configuration.

Pour mettre en place cette entête au niveau d'apache:

Créer un fichier security.conf dans votre répertoire de configuration apache (par defaut /etc/httpd/conf.d) ou directement dans votre fichier httpd.conf. 

Header set Content-Security-Policy "script-src 'unsafe-inline' 'self' maps.google.com maps.googleapis.com"
Header set X-Content-Security-Policy "script-src 'unsafe-inline' 'self' maps.google.com maps.googleapis.com"
Header set X-WebKit-CSP "script-src 'unsafe-inline' 'self' maps.google.com maps.googleapis.com"

Si vous utilisez un fichier spécifique (comme security.conf) il faut ajouter au fichier principal httpd.conf la ligne suivante pour que le fichier soit pris en compte. 

Include conf.d/security.conf

Il est nécessaire d'appliquer l'irule sur le virtuel server concernant par la modification.

Pour savoir si l'entête ne bloque de page légitime, le plus simple est de se connecter à la plateforme via chrome après avoir fait la mise à jour et d'appuyer sur la page F12 pour afficher les outils de développement.

Si l’entête empêche l'accès à certain lien vous verrez les messages d'erreur suivant dans l'onglet console:


Development-tools.png


Vous pourrez alors ajouter le lien manquant a votre configuration CSP.

Récupérée de « https://csirt.docapost.fr/index.php?title=Entête_CSP_Apache&oldid=2015 »