add csp

[fabienheureux]

Cf erreur en prod Refused to display 'https://quefairedemesdechets.ademe.fr/?iframe' in a frame because it set 'X-Frame-Options' to 'DENY'.

Il manque un header pour autoriser l'affichage du site en iframe. X-Frame-Options défini côté Netlify peut être supplanté par une CSP, qui est une approche un peu plus moderne et pratique si on a d'autres règles à ajouter. Cf https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

Warning: The Content-Security-Policy HTTP header has a frame-ancestors directive which obsoletes this header for supporting browsers.

Il est possible que ce soit une nouveauté Netlify : https://answers.netlify.com/t/breaking-change-x-frame-options-set-to-deny/102220/3

---

Comment tester

Aller sur ce codepen : https://codepen.io/fabienheureux/pen/GRbOWgp

• Première iframe : la prod, ne charge pas (avec erreur)
• Deuxième iframe : url de preview netlify qui build la branche courante, c'est bien affiché

Le code des iframe est celui repris depuis le CMS, rien d'exotique, donc ça devrait fonctionner sans soucis

[netlify[bot]]

✅ Deploy Preview for qfdmd ready!

Name	Link
🔨 Latest commit	c64593d97077fca916eb5b1f641d3019a20f57fd
🔍 Latest deploy log	https://app.netlify.com/sites/qfdmd/deploys/66bb3c1613a241000848c73f
😎 Deploy Preview	https://deploy-preview-114--qfdmd.netlify.app
📱 Preview on mobile	Toggle QR Code... Use your smartphone camera to open QR code link.

---

To edit notification comments on pull requests, go to your Netlify site configuration.