Définir une règle CSP base-uri

Modifiez la politique de sécurité pour limiter les valeurs possibles de l’élément <base>.

Pourquoi préciser une directive base-uri ?

Votre page contient des liens relatifs. Pour transformer ces liens relatifs en URLs complètes, le navigateur se basera sur l'URL de la page.

En cas d’attaque de type XSS (Cross-Site Scripting), un attaquant pourrait injecter un élément <base> de toute pièce dans vos pages dans l’optique de détourner une partie de votre trafic vers un autre site web. Définissez une politique de sécurité limitant les domaines possibles dans les valeurs d’un élément <base>.

Comment limiter les valeurs possibles pour l'élément <base> ?

Pour cela, configurez votre serveur afin que votre en-tête HTTP Content-Security-Policy contienne une définition pour la directive base-uri.

Apache :

<IfModule mod_headers.c>
Header set Content-Security-Policy "base-uri 'self';"
</IfModule>

Nginx :

add_header Content-Security-Policy "base-uri 'self';"

L'exemple précédent ne contient pas votre CSP existante, n'oubliez pas de l'intégrer, si elle est valide, avant la déclaration base-uri

  • 0 Utilisateurs l'ont trouvée utile
Cette réponse était-elle pertinente?

Articles connexes

Forcer vos visiteurs à utiliser HTTPS

Si vous disposez d'un certificat SSL, vous souhaitez peut être que les visiteurs qui rejoignent...

Wordpress xmlrpc DDoS

A inclure dans votre Htaccess ou dans le pre virtualhost Apache : <Filesxmlrpc.php> Order...

Différence entre les en-têtes de sécurité CORS et CSP

Le partage des ressources Cross Origin (CORS) et la politique de sécurité du contenu (CSP) sont...

SSL vs TLS – Quelle différence ?

SSL et TLS : rappel historique SSL (Secure Socket Layer) et TLS (Transport Layer Security) sont...

CentOS - Installer les mises à jour de sécurité

I. Présentation   Sous Rhel & CentOS, comme pour tout serveur Linux, vous pouvez mettre à...

Powered by WHMCompleteSolution