Erreur qui apparait lors de l'affichage de mes page HTML [Résolu]

Signaler
Messages postés
10
Date d'inscription
dimanche 18 novembre 2012
Statut
Membre
Dernière intervention
11 mai 2020
-
Messages postés
10
Date d'inscription
dimanche 18 novembre 2012
Statut
Membre
Dernière intervention
11 mai 2020
-
Bonjour,

Je dévéloppe une application en PHP, HTML, CSS, JS

Voilà depuis deux jours, certains script ne fonctionnent plus. Je ne sais pas si j'ai fait une mise à jour de mon navigateur, mais voici les erreurs que j'ai quand je charge mes pages web:

Content Security Policy: Les paramètres de la page ont empêché le chargement d’une ressource à inline (« script-src »).


Content Security Policy: Les paramètres de la page ont empêché le chargement d’une ressource à .../main.js (« script-src »). 3

Apres plusieurs recherches, il parait que c'est une sécurité coté client. Mais du coup des pages contenant des scripts ne fonctionnent plus.

J'ai lu que la solution serait de ne pas mettre directement des scripts dans le html. Mais cela me prendra trop de temps. J'ai donc essayé ce code PHP:

header("Content-Security-Policy-Report-Only: default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval' ");



Résultat: toujours le même problème.

J'utilise un htaccess, mais je ne sais pas comment le modifier pour prendre desactiver cela.

Je suis donc bloqué et mes pages ne fonctionnent pas.

Que faire

merci

1 réponse

Messages postés
10
Date d'inscription
dimanche 18 novembre 2012
Statut
Membre
Dernière intervention
11 mai 2020

A force de persévérance j'ai trouvé:

Mettre dans une vue PHP:
header("Content-Security-Policy: default-src 'self' '; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline' 'unsafe-eval'; ");


ou mettre dans un htaccess :
Header set Content-Security-Policy "default-src 'self' '; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline' 'unsafe-eval';"

Ou mettre dans une page HTML
<meta http-equiv="Content-Security-Policy" content="default-src 'self' '; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline' 'unsafe-eval';">

et maintenant ca marche, je n'ai plus d'erreur Content Security Policy.

Mais j'ai tout de même deux questions:

- J'ai un petit réseau 192.168.1.0/24. Quand j'utilise comme adresse localhost ou 127.0.0.1 pour accéder à mon application web, après avoir appliqué le code ci-dessus, je n'ai plus d"erreur liée au CSP. Mais si je mets http://192.168.1.50/monAppli, les erreurs CSP apparaissent. C'est bizarre. Peut-on m'expliquer?
- Deuxieme question: Pourquoi ou comment le CSP c'est activé seule dans mon navigateur? je ne l'avais pas avant, est-ce une mise à jour récente du navigateur?