Définir une règle CSP base-uri

Modifiez la politique de sécurité pour limiter les valeurs possibles de l’élément <base>.

Pourquoi préciser une directive base-uri ?

Votre page contient des liens relatifs. Pour transformer ces liens relatifs en URLs complètes, le navigateur se basera sur l'URL de la page.

En cas d’attaque de type XSS (Cross-Site Scripting), un attaquant pourrait injecter un élément <base> de toute pièce dans vos pages dans l’optique de détourner une partie de votre trafic vers un autre site web. Définissez une politique de sécurité limitant les domaines possibles dans les valeurs d’un élément <base>.

Comment limiter les valeurs possibles pour l'élément <base> ?

Pour cela, configurez votre serveur afin que votre en-tête HTTP Content-Security-Policy contienne une définition pour la directive base-uri.

Apache :

<IfModule mod_headers.c>
Header set Content-Security-Policy "base-uri 'self';"
</IfModule>

Nginx :

add_header Content-Security-Policy "base-uri 'self';"

L'exemple précédent ne contient pas votre CSP existante, n'oubliez pas de l'intégrer, si elle est valide, avant la déclaration base-uri

  • 0 Utilisateurs l'ont trouvée utile
Cette réponse était-elle pertinente?

Articles connexes

Wordpress xmlrpc DDoS

A inclure dans votre Htaccess ou dans le pre virtualhost Apache : <Filesxmlrpc.php> Order...

Blocage IP (Anti Hack)

L'ip de votre service peut se retrouver bloquée suite à l'utilisation abusive de votre service...

Forcer vos visiteurs à utiliser HTTPS

Si vous disposez d'un certificat SSL, vous souhaitez peut être que les visiteurs qui rejoignent...

Memchached security - nos recommandations

ObjectifMemcached est un service de base de données en mémoire qui est principalement utilisé...

SSL vs TLS – Quelle différence ?

SSL et TLS : rappel historique SSL (Secure Socket Layer) et TLS (Transport Layer Security) sont...

Powered by WHMCompleteSolution