Règle CSP pose pb à dolibarr

Bonjour à tous,

Afin d’augmenter la sécurité de mon hébergement mutualisé sur lequel tourne mon dolibar v11.04, j’ai ajouté cette règle à mon fichier .htacess :
Header add Content-Security-Policy « default-src ‹ self › »
Malheureusement celle-ci bloque tous les scripts jquery, j’ai l’impression.
J’ai essayé d’y jeter un oeil mais je ne vois pas pourquoi.

Si quelqu’un a une idée cela serai top.

Bonjour

Cette règle exclus les appels de script via d’autres sources que votre propre domaine. Cependant dans Dolibarr y a des appels externes, notamment hors du dossier htdocs qui contient les documents et les scripts.

Essayez plutôt
Content-Security-Policy: default-src ‹ self › *.source-sure.example.net
Pour un site dont tout le contenu est fourni par le site lui-même ou par les sous-domaines de source-sure.example.net (qui peut être un autre site)

ou encore
Content-Security-Policy: default-src ‹ self ›; img-src *; media-src toto.local tata.local; script-src scripts.local

Pour un site dont les images peuvent venir de n’importe où, les musiques et vidéos de toto.local ou tata.local , les scripts par scripts.local

Plus d’infos ici >> https://developer.mozilla.org/fr/docs/Web/HTTP/CSP

Excellente journée

Merci pour ce retour et cette information. Malheureuesement, elle ne me permet pas de résoudre mon problème car je n’arrive pas à identifier les appels appels externes exactement de façon à ajouter mes règles de sécurité.

Merci encore pour l’information

Bonjour
Essayez d’utiliser l’option report-only pour vérifier où sont les blocages.
@+

Edit : a lire [RESOLU] Soucis d'affichage avec version courante

Pour info il existe la variable MAIN_HTTP_CONTENT_SECURITY_POLICY qui permet de renseigner la règle.
Je viens de compléter le wiki.
@+

Merci pour ce retour, je regarde le wiki à ce sujet.

Pour répondre à @maxdevis : pas d’importance qu’il y ait un dossier htdocs et documents, c’est de la cuisine interne. CSP vérifie principalement l’origine des contenus sur la base des origines URL.

Perso j’ai juste mis : default-src https://adresse_de_mon_dolibarr.fr ‹ unsafe-inline › ‹ unsafe-eval ›
J’aurais aimé évité ‹ unsafe-inline › ‹ unsafe-eval › mais je n’ai pas encore trouvé.
ça reste à compléter selon les modules installés etc…
@+

Merci de ton retour, je n’ai pas récupérer mon A que j’avais avec la précédente règle sur https://observatory.mozilla.org mais B c’est déjà bien et cette règle me plait aussi même si elle n’est pas parfaite. Merci encore de ton aide.