Directives CSP
script-src: contrôle les scripts pouvant s’exécuterstyle-src: contrôle les feuilles de style pouvant se chargerfont-src: contrôle les polices pouvant se chargerimg-src: contrôle les images, icônes et logos pouvant se chargerconnect-src: contrôle les URL auxquelles il est possible de se connecter pour les appels à l’API et les connexions WebSocketframe-src: contrôle les URL pouvant être intégrées dans des frames ou des iframesdefault-src: valeur de repli pour les autres directives lorsqu’elles ne sont pas explicitement définies
Liste d’autorisation des domaines
Exemple de configuration CSP
Incluez uniquement les domains des services que vous utilisez. Supprimez tous les domains d’Analytics que vous n’avez pas configurés pour votre documentation.
Configurations courantes selon le type de proxy
Configuration Cloudflare
- Dans votre Dashboard Cloudflare, accédez à Rules > Overview.
- Sélectionnez Create rule > Response Header Transform Rule.
- Configurez la règle :
- Modify response header: Set static
- Header name:
Content-Security-Policy - Header value:
- Header name:
- Déployez la règle.
Configuration de AWS CloudFront
Configuration de Vercel
vercel.json :
Dépannage
- Ouvrez les outils de développement de votre navigateur.
- Accédez à l’onglet Console.
- Recherchez des erreurs commençant par :
Content Security Policy: The page's settings blocked the loading of a resourceRefused to load the script/stylesheet because it violates the following Content Security Policy directiveRefused to connect to because it violates the following Content Security Policy directive