Logo journal du hacker middle
  1. 3

L'entête Content Security Policy part d'un très bon sentiment. Concernant sa mise en oeuvre sur WordPress, c'est une autre paire de manches.

  1.  

  2. 1
    • Si tu as des <script> inline, tu as un problème d'optimisation,
    • Si tu as des eval() en PHP ou en Javascript, tu as un immense problème de sécurité,
    • Si ton CMS permet d'inclure directement du PHP dans tes fichiers de template, tu as un très très gros souci d'architecture,
    • Si tu ne sais pas comment gérer les droits utilisateurs pour resteindre su, sudo et n'autoriser que root à jouer avec /etc, c'est que tu as un immense problème d'administration système. Après, je ne vois pas la difficulté à travailler avec les CSP, surtout avec les paramètres “tester” et “signaler par le navigateur”.
    1. [Comment from banned user removed]

      1. 1

        À cause de quelques billets qui justement font la démonstration des injections de code. Le blog ayant 15 ans de contenus, certains billets “dynamiques” sont compliqués à faire évaluer.