[Sécurité] Ajout en-têtes de sécurité manquantes dont la CSP

[sfinx13]

Ticket

572

Description

En-têtes de sécurité manquantes https://mtes-mct.github.io/dashlord/url/stop-punaises-beta-gouv-fr/securite/#:~:text=Mozilla%20HTTP%20observatory Présentation des différentes directives utilisés de CSP (Content Security Policy)

Directive	Signification
default-src	Sources par défaut pour toutes les catégories.
script-src	Sources autorisées pour les scripts.
style-src	Sources autorisées pour les styles.
img-src	Sources autorisées pour les images.
font-src	Sources autorisées pour les polices de caractères.
connect-src	Sources autorisées pour les connexions réseau.
iframe-src	Sources autorisées pour les iframe.
object-src	Sources autorisées pour les sources object.

Changements apportés

• Activation de la protection XSS avec la directive X-XSS-Protection.
• Activation de la protection qui empêche le navigateur de deviner le type de contenu
• Ajout de la directive Content-Security-Policy (CSP) pour contrôler les sources autorisées par la plateforme

Pré-requis

• make composer (Nouvelle dépendance Brevo)

• Exécuter docker compose build stopunaises_nginx

• Executer make down && make run

• Copier cette ligne dans .env.local

SECURITY_CSP_HEADER_VALUE="default-src 'self'; script-src 'self' 'unsafe-inline' https://cdn.matomo.cloud https://unpkg.com; style-src 'self' 'unsafe-inline' https://unpkg.com; img-src 'self' data: blob: https://*.tile.openstreetmap.org https://unpkg.com; connect-src 'self' https://api-adresse.data.gouv.fr https://cdn.matomo.cloud; font-src 'self'; frame-src 'none'; object-src 'none'"

• Re-Executer make down && make run (dans le doute) https://mattermost.incubateur.net/betagouv/pl/ptghnjyr37gc8d3ad35aa337ar

Tests

• [ ] Vérifier que la politique de sécurité n’empêche pas le bon fonctionnement du site (avec l'inspecteur ouvert)

  • Test de bon fonctionnement sur l'auto-complétion des adresses
  • Vérifier que la cartographie s'affiche

• [ ] Vérifier à l'aide d'une requête CURL la présence des 3 en-têtes manquantes

  curl -I http://localhost:8090

Content-Security-Policy: default-src ....
X-Content-Type-Options:: nosniff
X-XSS-Protection: 1; mode=block

• [ ] Vérifier que la politique CSP ne bloque pas des ressources légitimes

Exemple d'erreur :

Documentation

• Content Security Policy (CSP) Quick Reference Guide
• Sécurité HTTP - Content Security Policy (CSP)
• Règle de sécurité du contenu

[emilschn]

tu n'as pas reproduit la même typo sur X-Content-Type-Options:: nosniff ?

[emilschn]

Y'a des trucs bloqués liés à eval mais je ne trouve pas la source bloquée (je pense que c'est lié à mes extensions), donc je ne sais pas si c'est gênant

[sfinx13]

tu n'as pas reproduit la même typo sur X-Content-Type-Options:: nosniff ?

j'ai fait un copier coller de la premiere PR :-)