Définir une règle CSP base-uri Imprimer

  • 0

Modifiez la politique de sécurité pour limiter les valeurs possibles de l’élément <base>.

Pourquoi préciser une directive base-uri ?

Votre page contient des liens relatifs. Pour transformer ces liens relatifs en URLs complètes, le navigateur se basera sur l'URL de la page.

En cas d’attaque de type XSS (Cross-Site Scripting), un attaquant pourrait injecter un élément <base> de toute pièce dans vos pages dans l’optique de détourner une partie de votre trafic vers un autre site web. Définissez une politique de sécurité limitant les domaines possibles dans les valeurs d’un élément <base>.

Comment limiter les valeurs possibles pour l'élément <base> ?

Pour cela, configurez votre serveur afin que votre en-tête HTTP Content-Security-Policy contienne une définition pour la directive base-uri.

Apache :

<IfModule mod_headers.c>
Header set Content-Security-Policy "base-uri 'self';"
</IfModule>

Nginx :

add_header Content-Security-Policy "base-uri 'self';"

L'exemple précédent ne contient pas votre CSP existante, n'oubliez pas de l'intégrer, si elle est valide, avant la déclaration base-uri


Cette réponse était-elle pertinente?

« Retour