Ajouter des headers HTTP de securite et preparer une CSP stricte #10

New issue

Open

opened 2026-04-12 18:09:05 +00:00 by thibaud-lclr · 0 comments

thibaud-lclr commented

2026-04-12 18:09:05 +00:00

(Migrated from gitea.lclr.dev)

1. Le souci

Le runtime ne renvoie pas aujourd'hui les headers de durcissement les plus attendus (Content-Security-Policy, X-Frame-Options, Referrer-Policy, Strict-Transport-Security). En plus, des scripts inline rendent une CSP stricte plus difficile.

2. Proposition de solution

Mettre une base de durcissement navigateur et sortir progressivement les scripts inline afin de pouvoir appliquer une CSP utile en production.

3. Proposition d'implementation

definir les headers au niveau Caddy/FrankenPHP ou middleware Symfony ;
extraire les scripts inline Twig vers Stimulus/JS dedie ;
poser une CSP d'abord permissive puis la resserrer ;
verifier l'impact sur Vite, Turbo, React et le profiler en dev.

## 1. Le souci Le runtime ne renvoie pas aujourd'hui les headers de durcissement les plus attendus (`Content-Security-Policy`, `X-Frame-Options`, `Referrer-Policy`, `Strict-Transport-Security`). En plus, des scripts inline rendent une CSP stricte plus difficile. ## 2. Proposition de solution Mettre une base de durcissement navigateur et sortir progressivement les scripts inline afin de pouvoir appliquer une CSP utile en production. ## 3. Proposition d'implementation - definir les headers au niveau Caddy/FrankenPHP ou middleware Symfony ; - extraire les scripts inline Twig vers Stimulus/JS dedie ; - poser une CSP d'abord permissive puis la resserrer ; - verifier l'impact sur Vite, Turbo, React et le profiler en dev.