Sécurité dans le header

Petit nouveau ! | 1 Messages

02 sept. 2018, 09:29

Bonjour à tous!
J'essaye de faire mon site moi même. J'ai de bonnes notions php mais voilà je cale.
Pourriez vous m'aider à comprendre pourquoi mes démarches pour placer du CSP et XSS ne fonctionnent pas ?
J'ai tenté par le htaccess également sans résultat.
J'ai un hébergement chez 1&1 pour info.
voici mon code PHP:

header('Strict-Transport-Security: max-age=31536000; includeSubDomains; preload;');
header("X-Frame-Options: DENY");
header("X-XSS-Protection: 1; mode=block");
header("X-Content-Type-Options: nosniff");
header("Cache-Control: max-age=2592000");
header("Content-Security-Policy: default-src 'self' ; script-src 'self' https://www.google-analytics.com https://apis.google.com ; style-src 'self' ; img-src 'self' https://www.google-analytics.com data: ; font-src 'self'; frame-ancestors 'none' ; connect-src 'self'; object-src 'self'; base-uri 'self';");
header("X-Content-Security-Policy: default-src 'self'; script-src 'self';");
header("Referrer-Policy: origin-when-cross-origin");
header("Expect-CT: max-age=7776000, enforce");


Merci de votre aide.
Vincent

Avatar du membre
Administrateur PHPfrance
Administrateur PHPfrance | 7657 Messages

02 sept. 2018, 15:37

C'est à dire "ça ne marche pas" ?
Quand tu regardes les entêtes des réponses serveurs via la console de ton navigateur (Ctrl+Maj+i sous Firefox ou Chrome) tu retrouves bien ce que tu as défini ?
Quand tout le reste a échoué, lisez le mode d'emploi...