Closed AntoineAugusti closed 1 month ago
GG ! Je propose de déployer sur prochainement et vérifier ce que ça donne là bas, vu qu'on peut avoir des surprises sur ce genre de choses.
(j'ai lancé le déploiement d'ailleurs, pour ne pas perdre de temps)
$ curl -q -I https://prochainement.transport.data.gouv.fr | grep "security-policy"
content-security-policy: default-src 'none'; connect-src *; font-src *; frame-ancestors 'none'; img-src 'self' data: https://api.mapbox.com https://static.data.gouv.fr https://demo-static.data.gouv.fr https://www.data.gouv.fr https://demo.data.gouv.fr https://*.dmcdn.net https://transport-data-gouv-fr-logos-staging.cellar-c2.services.clever-cloud.com; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://stats.data.gouv.fr/matomo.js; frame-src https://www.dailymotion.com/; style-src 'self' 'nonce-OTkZYo_gnPM5oA' 'sha256-9uoGUaZm3j6W7+Fh2wfvjI8P7zXcclRw5tVUu3qKZa0=' 'sha256-MmUum7+PiN7Rz79EUMm0OmUFWjCx6NZ97rdjoIbTnAg='; report-uri https://o1140487.ingest.sentry.io/api/6197733/security/?sentry_key=ee95fa9a50c747ec93b1467ed9377251&sentry_environment=staging
C'est bien pris en compte
J'ai relancé un petit diagnostic à côté, je mettrai des notes dans le ticket privé plus tard, ça me semble bon !
Fixes https://github.com/etalab/transport-deploy/issues/74
Améliore notre CSP en indiquant que le PAN ne peut pas être mis dans une
iframe
. Voir OWASP - Clickjacking defense.Nous avions déjà
x-frame-options: sameorigin
dans notre codebase pour toutes nos réponses. https://github.com/etalab/transport-site/blob/22162d63b100d9a1efd940096fef8613de307555/apps/transport/test/transport_web/routing/headers_and_cookies_test.exs#L12J'adapte en passant à
DENY
, on ne met pas d'iframe de notre propre site.