Content Security Policy : bonnes pratiques
Une CSP stricte limite les sources de code et de contenu et bloque les injections.
Principes
- Privilégier les nonces/hachages plutôt que 'unsafe-inline'.
- Éviter les jokers ; cadrer précisément les sources (schémas, hôtes, chemins).
- Isoler les contenus tiers (sous‑domaines/sandbox) et interdire eval.
- Utiliser frame-ancestors au lieu de X-Frame-Options.
- Journaliser les violations (report-to / report-uri) et itérer.
Déploiement sans casse
- D’abord en Report‑Only ; corriger les violations ; puis faire appliquer.
- Inventorier les ressources tierces et les autoriser via nonces/hachages.
- Épingler les connexions attendues avec connect-src.