Browse Source

fix: envoyer un CSP sur tout l'espace prive pour bloquer l'affichage en iframe et empecher une eventuelle XSS de manipuler des pages dans une iframe

remotes/checkIfPRContentChanged-1657783841409211796/issue_4833_editer_auteur
Cerdic 3 months ago
parent
commit
b62347a42b
  1. 3
      prive/squelettes/objet.html
  2. 3
      prive/squelettes/page.html

3
prive/squelettes/objet.html

@ -1 +1,2 @@
<INCLURE{fond=prive/squelettes/structure}{env}{type=#ENV{page,#ENV{type}}}{composition=#ENV{composition,''}}>
#HTTP_HEADER{"Content-Security-Policy: frame-ancestors 'none'"}
<INCLURE{fond=prive/squelettes/structure}{env}{type=#ENV{page,#ENV{type}}}{composition=#ENV{composition,''}}>

3
prive/squelettes/page.html

@ -1 +1,2 @@
<INCLURE{fond=prive/squelettes/structure}{env}{type-page=#ENV{type-page,#ENV{exec}}}{composition=#ENV{composition,''}}>
#HTTP_HEADER{"Content-Security-Policy: frame-ancestors 'none'"}
<INCLURE{fond=prive/squelettes/structure}{env}{type-page=#ENV{type-page,#ENV{exec}}}{composition=#ENV{composition,''}}>

Loading…
Cancel
Save