Contenu De La Politique De Sécurité De Commande Non Valide
J'ai ajouté les lignes suivantes dans mon .htacces fichier:
Content-Security-Policy: default-src 'self'
X-Content-Security-Policy: default-src 'self'
X-WebKit-CSP: default-src 'self'
Mais j'ai toujours eu l'erreur suivante:
Invalid command 'Content-Security-Policy:', perhaps misspelled or defined by a module not included in the server configuration
Je ne l'obtenez pas. Qui module Apache dois-je l'activer? Quel est le problème avec ces lignes?
Thx,
David
OriginalL'auteur davkraid | 2013-05-05
Vous devez vous connecter pour publier un commentaire.
Je ne suis pas un apache expert, mais le contenu politique de sécurité est un en-tête de réponse. http://httpd.apache.org/docs/2.2/mod/mod_headers.html
OriginalL'auteur oreoshake
Ajouter ces lignes dans votre httpd.conf fichiers de configuration, ou à l'intérieur de votre virtualhost sections, ou à l'intérieur de votre .htaccess:
Vous pourriez également être intéressé par l'ajout de ces en-têtes:
Vous devez activer (LoadModule) mod_headers si ce n'est déjà activé, puis redémarrez apache.
Je suppose que c'est dans le cas où ils ont déjà été défini plus haut, pour éviter les doublons.
pour être plus clair à l'aide de la
Header add
directive peut entraîner plusieurs en-têtes du même nom, tout enHeader set
ne sera pas:Header add: The response header is added to the existing set of headers, even if this header already exists. This can result in two (or more) headers having the same name. This can lead to unforeseen consequences, and in general set, append or merge should be used instead.
aussi, selon le OWASP il n'est pas recommandé d'utiliser X-Contenu-de la Politique de Sécurité ou X-WebKit-CSP depuis
their implementations are obsolete (since Firefox 23, Chrome 25), limited, inconsistent, and incredibly buggy
Donc, en bref, nous devrions utiliser uniquement
Header always set Content-Security-Policy "default-src 'self'"
et c'est tout (en plus de la les domaines on veut préciser).OriginalL'auteur dAm2K