Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

CSP et iframes

yann

Hello ! Suite à une discussion sur Matrix, j’ouvre cette discussion sur le forum.

En gros, on ne peut pas faire d’iframe d’une page hébergée sur Club1 car le serveur les bloque. La raison a cela est que Mozilla recommande une Content Security Policy (CSP) stricte, soit de ne pas autoriser les iframe pour des requêtes venant d’autres domaines.

Pour ma part, mon usage correspond à deux domaines qui sont hébergés sur Club1… En ce qui me concerne, ça ne me choquerait pas que l’on restraigne en partie les fonctionnalités du serveur autour des iframes, mais ça me semblerait pas mal qu’on puisse au moins en faire entre les domaines hébergés sur Club1 !

Après, je sais pas comment cette CSP pourrait être facilement mise en place techniquement.

Qu’en pensez-vous ?

vincent

Je trouve que le règles strictes de la CSP peuvent être utiles pour des personnes qui débutent sur le Web en fournissant un « garde-fou ». Les iframes c’est quand même un sacré délire, et on imagine pas forcément, quand on code ça petite page HTML au calme, que n’importe qui puisse l’intégrer dans la sienne ! Mais ça me semblerait logique que ça puisse être désactivé si l’on sait ce que l’on fait.

Par exemple, si ça pouvait être désactivé par le fichier .htaccess, je trouverai ça pas mal comme logique. (nécessitant une action de la part de le·a membre, mais sans avoir besoin de contacter les Webmestres)

Mais bon j’imagine qu’actuellement, c’est Nginx qui le rajoute, d’où le fait qu’on ne puisse pas intervenir avec le fichier .htaccess (qui influe seulement sur Apache).
Peut-être qu’on pourrait dire à Nginx de ne pas ajouter de header si celui-ci est déjà présent ? (un peu comme le setifempty de Apache)

Doc MDN: Content-Security-Policy: frame-ancestors

Et sinon, si c’est trop compliqué à mettre en place, ça ne me choquerait pas d’assouplir la CSP concernant les iframes. Même si assouplir, ça veut dire désactiver. Car j’ai du mal à voir quelle granularité on a. De ce que j’ai compris, on peut soit mettre none (tout autoriser), soit self pour limiter au même domaine, soit mettre une liste d’URL. Donc ça me semble une galère de fonctionner par serveur, vu que les noms de domaines sont variés et indépendant de CLUB1.

vincent

vincent Peut-être qu’on pourrait dire à Nginx de ne pas ajouter de header si celui-ci est déjà présent ? (un peu comme le setifempty de Apache)

Moué… j’ai pas l’impression que ça existe :
https://nginx.org/en/docs/http/ngx_http_headers_module.html

nicolas

vincent ouais Nginx est vraiment « stupide » sur ce genre de trucs, mais c’est fait exprès.

On pourrait effectivement voir pour mettre cette config au niveau de Apache plutôt que de Nginx mais ça m’embête un peu parce que ça demanderait de la dupliquer pour chaque nom de domaine externe.
À moins que ça puisse se configurer hors vhost ? 🤔

Sinon je pense que je suis OK pour désactiver cette protection. C’est quand-même vachement spécifique comme genre d’attaques, en général ça commence à être un problème lorsqu’un brouteur essaie de se faire passer pour votre site, ça devrait pas arriver pour un site CLUB1 haha !

nicolas

nicolas À moins que ça puisse se configurer hors vhost ?

Ah oui c’est bien possible de le faire dans la configuration globale : https://httpd.apache.org/docs/current/fr/mod/mod_headers.html#header

Dans ce cas je pense simplement traduire la config Nginx de la CSP etc. et la mettre en globale au niveau de Apache.

En fait ce sera même mieux, ça ne s’appliquera qu’aux sites Web à proprement parler et pas à tous les services passant par Nginx.
Ah mais il y a quelques services Web comme le forum qui auraient bien besoin de ce genre de sécurité, mais tant pis, ça sera carrément l’occasion d’en mettre une plus stricte spécialement pour le forum.

vincent

nicolas Dans ce cas je pense simplement traduire la config Nginx de la CSP etc. et la mettre en globale au niveau de Apache.

Ah ouais stylé !
Donc si j’ai bien compris, ça permettrait de contredire ce réglage global dans le fichier .htaccess ?
Moi j’ai l’impression que c’est stylé comme stratégie. Mais par exemple @yann, toi qui a la problématique, je suis curieux de ton avis ? (Bon en imaginant que c’est documenté 😜)

nicolas En fait ce sera même mieux, ça ne s’appliquera qu’aux sites Web à proprement parler et pas à tous les services passant par Nginx.

Yes !

nicolas Ah mais il y a quelques services Web comme le forum qui auraient bien besoin de ce genre de sécurité, mais tant pis, ça sera carrément l’occasion d’en mettre une plus stricte spécialement pour le forum.

Haha, hâte du jour où on découvrira un défaut à cette config méga stricte pour le forum !

nicolas

vincent Donc si j’ai bien compris, ça permettrait de contredire ce réglage global dans le fichier .htaccess ?

Oui c’est ça.

Je viens de mettre en place ce changement. J’ai utilisé simplement Header set, parce que d’après ce que j’ai lu de la doc, il suffit qu’un autre Header set soit défini plus tard dans la conf Apache pour qu’il prenne le dessus. Par contre ça ne permet pas de définir ces entêtes depuis PHP par exemple. Mais je trouve que c’est plutôt une bonne chose au final.

Je viens de tester, et il est bien possible de les écraser depuis le .htaccess

vincent Haha, hâte du jour où on découvrira un défaut à cette config méga stricte pour le forum !

En vrai on en avait un dans le passé, mais seulement présent dans la zone d’admin :) Maintenant c’est résolu.
Pour l’instant j’ai juste dupliqué la config mais maintenant on a la possibilité d’en changer seulement une des deux.