6 results
tagged
http x
-
CSP Header Inspector and Validator
"""January 31, 2020 at 2:04:23 PM GMT+1 - permalink -
Les en-têtes CSP (content security policy : https://developer.mozilla.org/fr/docs/Web/HTTP/CSP ) permettent de spécifier quels contenus peuvent s’afficher/s’éxécuter dans votre machine.
Pour vulgariser à l’extrême (ne faites pas ça), ça permettrait à n’importe qui de poster du JS ou du CSS valide dans vos pages (par exemple dans un commentaire) et ce dernier sera bloqué si les en-têtes interdisent le JS inline, ou le CSS inline.
(faut pas le faire car tous les navigateurs ne supportent pas et il faut partir du principe que le navigateur du visiteur (voire le vôtre) n’a pas forcément ça d’activé).
Si j’ajoute cette en-tête CSP à une page :
default-src 'self'; img-src 'self' data:; script-src 'self' 'unsafe-inline'; form-action 'self';
Cela autorisera par liste blanche :
– le contenu peu importe son type (default-src) en provenance de votre domaine ('self') seulement
– les images (img-src) en provenance de votre domaine (self), des liens data-uri (data:)
– les scripts (script-src) en provenance de votre domaine (self), ainsi que les script inline (unsafe-inline)
– les POST de formulaires (form-action) en provenance de votre domaine (self)
Tout le reste sera inutile, bloqué.
Avec ces règles, si vous mettez une image "src=https://example.com";, alors l’image ne chargera pas : bloqué par les règles CSP : seule une image sur votre site, et une image avec data-uri peuvent s’afficher.
Dans les outils de dév de Firefox, vous verrez afficher une alerte relative à CSP.
Le lien que je donne ici permet de tester vos règles CSP (copiez-y mon code ci-dessus, pour tester). Il décortique également tout ça pour y voir clair.
Enfin, si vous utilisez Apache, voilà comment on ajoute une entête dans un .htaccess :
# Extra Security Headers
<IfModule mod_headers.c>
Header set Content-Security-Policy "<regle csp>"
</IfModule>
Remplacez <regle csp> par votre règle, virez les « <> », mais laissez les quotes.
Comme ça :
# Extra Security Headers
<IfModule mod_headers.c>
Header set X-Content-Type-Options nosniff
Header set Content-Security-Policy "default-src 'self'; img-src 'self' data:; script-src 'self' 'unsafe-inline'; form-action 'self';"
</IfModule>
"""
(LHV)
-
https://cspvalidator.org/#url=https://cspvalidator.org/
-
nginxconfig.io
Un outil de génération de fichier de configuration NginxMarch 15, 2019 at 4:14:04 PM GMT+1 - permalink -
-
https://nginxconfig.io/
-
Choosing an HTTP Status Code — Stop Making It Hard | Racksburg - http://racksburg.com/choosing-an-http-status-code/
Des arbres de décision pour savoir quel code retour HTTP retourner.December 11, 2015 at 11:55:30 AM GMT+1 - permalink -
-
http://racksburg.com/choosing-an-http-status-code/
-
Hamms
"""Un serveur HTTP qui se comporte *MAL* (entêtes HTTP foireuses, délais de réponse, erreurs de connexion, énormes cookies...) dans le but de tester la fiabilité des clients HTTP."""November 18, 2014 at 11:39:54 AM GMT+1 - permalink -
(Sebsauvage)
-
https://github.com/kevinburke/hamms
-
4 HTTP Security headers you should always be using | ibuildings
Content-security-policy : durcit contre les XSSFebruary 3, 2014 at 10:57:40 AM GMT+1 - permalink -
X-frame-options : durcit contre les xframes malignes
X-content-type-options : pas bien compris
HSTS (Strict Transport Policy) : force HTTPS.
-
http://ibuildings.nl/blog/2013/03/4-http-security-headers-you-should-always-be-using
-
Mock Response
Un serveur web qui renvoie le code HTTP voulu en fonction de l'URL appelée (ou répond longuement, voire en timeout)July 25, 2013 at 1:35:41 PM GMT+2 - permalink -
Exemple : http://mock.isssues.com/200
(Un "mock" (ou "bouchon" en français) est un objet fictif qu'on utilise pour simuler le comportement de l'objet final (qu'on n'a pas encore codé) en respectant son API, mais en ne faisant rien derrière).
-
http://mock.isssues.com/