[Privacy] Politique de sécurité de contenu non valide

[KuSh]

Recommendation fruggr

Configurer les meta données pour exposer une configuration CSP correcte

Plus d'information en anglais :

• https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
• https://www.zaproxy.org/docs/alerts/10055/

[KuSh]

Le sujet n'a pas été complètement traité

[KuSh]

• Il faudrait utiliser la fonctionnalité intégrée dans svelte et la configuration CSP suivante :

const config = {
  kit: {
    csp: {
      mode: 'auto',
      directives: {
        'default-src': ['self'],
        'script-src': ['strict-dynamic', 'https://unpkg.com/@digital4better/carbonara@latest'],
        'style-src': ['unsafe-inline'], // Allow Svelte transitions
        'object-src': ['none'],
        'base-uri': ['none'],
        'require-trusted-types-for': ['script'],
      },
    }
  }
};

• ajouter l'attribut nonce="%sveltekit.nonce%" au script carbonara et à la balise style présente dans app.html
• supprimer les balises <meta name="Content-Security-Policy" /> qui ne sont pas correctes

Le tout est à bien tester pour vérifier que le site continue de fonctionner correctement