3087 links
  • Liens
  • Home
  • Login
  • RSS Feed
  • ATOM Feed
  • Tag cloud
  • Picture wall
  • Daily
Links per page: 20 50 100
page 1 / 1
6 results tagged http x
  • CSP Header Inspector and Validator
    """
    Les en-têtes CSP (content security policy : https://developer.mozilla.org/fr/docs/Web/HTTP/CSP ) permettent de spécifier quels contenus peuvent s’afficher/s’éxécuter dans votre machine.

    Pour vulgariser à l’extrême (ne faites pas ça), ça permettrait à n’importe qui de poster du JS ou du CSS valide dans vos pages (par exemple dans un commentaire) et ce dernier sera bloqué si les en-têtes interdisent le JS inline, ou le CSS inline.
    (faut pas le faire car tous les navigateurs ne supportent pas et il faut partir du principe que le navigateur du visiteur (voire le vôtre) n’a pas forcément ça d’activé).

    Si j’ajoute cette en-tête CSP à une page :

        default-src 'self'; img-src 'self' data:; script-src 'self' 'unsafe-inline'; form-action 'self';

    Cela autorisera par liste blanche :
    – le contenu peu importe son type (default-src) en provenance de votre domaine ('self') seulement
    – les images (img-src) en provenance de votre domaine (self), des liens data-uri (data:)
    – les scripts (script-src) en provenance de votre domaine (self), ainsi que les script inline (unsafe-inline)
    – les POST de formulaires (form-action) en provenance de votre domaine (self)

    Tout le reste sera inutile, bloqué.

    Avec ces règles, si vous mettez une image "src=https://example.com";, alors l’image ne chargera pas : bloqué par les règles CSP : seule une image sur votre site, et une image avec data-uri peuvent s’afficher.

    Dans les outils de dév de Firefox, vous verrez afficher une alerte relative à CSP.

    Le lien que je donne ici permet de tester vos règles CSP (copiez-y mon code ci-dessus, pour tester). Il décortique également tout ça pour y voir clair.

    Enfin, si vous utilisez Apache, voilà comment on ajoute une entête dans un .htaccess :

    # Extra Security Headers
    <IfModule mod_headers.c>
    Header set Content-Security-Policy "<regle csp>"
    </IfModule>

    Remplacez <regle csp> par votre règle, virez les « <> », mais laissez les quotes.

    Comme ça :

    # Extra Security Headers
    <IfModule mod_headers.c>
    Header set X-Content-Type-Options nosniff
    Header set Content-Security-Policy "default-src 'self'; img-src 'self' data:; script-src 'self' 'unsafe-inline'; form-action 'self';"
    </IfModule>
    """
    (LHV)
    January 31, 2020 at 2:04:23 PM GMT+1 - permalink - archive.org - https://cspvalidator.org/#url=https://cspvalidator.org/
    http sécurité web
  • nginxconfig.io
    Un outil de génération de fichier de configuration Nginx
    March 15, 2019 at 4:14:04 PM GMT+1 - permalink - archive.org - https://nginxconfig.io/
    configuration http nginx
  • Choosing an HTTP Status Code — Stop Making It Hard | Racksburg - http://racksburg.com/choosing-an-http-status-code/
    Des arbres de décision pour savoir quel code retour HTTP retourner.
    December 11, 2015 at 11:55:30 AM GMT+1 - permalink - archive.org - http://racksburg.com/choosing-an-http-status-code/
    http ressource webmaster
  • Hamms
    """Un serveur HTTP qui se comporte *MAL* (entêtes HTTP foireuses, délais de réponse, erreurs de connexion, énormes cookies...) dans le but de tester la fiabilité des clients HTTP."""
    (Sebsauvage)
    November 18, 2014 at 11:39:54 AM GMT+1 - permalink - archive.org - https://github.com/kevinburke/hamms
    http
  • 4 HTTP Security headers you should always be using | ibuildings
    Content-security-policy : durcit contre les XSS
    X-frame-options : durcit contre les xframes malignes
    X-content-type-options : pas bien compris
    HSTS (Strict Transport Policy) : force HTTPS.
    February 3, 2014 at 10:57:40 AM GMT+1 - permalink - archive.org - http://ibuildings.nl/blog/2013/03/4-http-security-headers-you-should-always-be-using
    http sécurité webmaster
  • Mock Response
    Un serveur web qui renvoie le code HTTP voulu en fonction de l'URL appelée (ou répond longuement, voire en timeout)

    Exemple : http://mock.isssues.com/200

    (Un "mock" (ou "bouchon" en français) est un objet fictif qu'on utilise pour simuler le comportement de l'objet final (qu'on n'a pas encore codé) en respectant son API, mais en ne faisant rien derrière).
    July 25, 2013 at 1:35:41 PM GMT+2 - permalink - archive.org - http://mock.isssues.com/
    développement http
Links per page: 20 50 100
page 1 / 1
Shaarli - The personal, minimalist, super-fast, database free, bookmarking service by the Shaarli community - Help/documentation