Browse Source

fix: envoyer un CSP sur tout l'espace prive pour bloquer l'affichage en iframe et empecher une eventuelle XSS de manipuler des pages dans une iframe

pull/5256/head
Cerdic 3 months ago committed by Matthieu Marcillaud
parent
commit
52d8eec96f
  1. 3
      prive/squelettes/objet.html
  2. 3
      prive/squelettes/page.html

3
prive/squelettes/objet.html

@ -1 +1,2 @@
<INCLURE{fond=prive/squelettes/structure}{env}{type=#ENV{page,#ENV{type}}}{composition=#ENV{composition,''}}>
#HTTP_HEADER{"Content-Security-Policy: frame-ancestors 'none'"}
<INCLURE{fond=prive/squelettes/structure}{env}{type=#ENV{page,#ENV{type}}}{composition=#ENV{composition,''}}>

3
prive/squelettes/page.html

@ -1 +1,2 @@
<INCLURE{fond=prive/squelettes/structure}{env}{type-page=#ENV{type-page,#ENV{exec}}}{composition=#ENV{composition,''}}>
#HTTP_HEADER{"Content-Security-Policy: frame-ancestors 'none'"}
<INCLURE{fond=prive/squelettes/structure}{env}{type-page=#ENV{type-page,#ENV{exec}}}{composition=#ENV{composition,''}}>

Loading…
Cancel
Save