Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Problèmes pour afficher le captcha d'un formulaire d'abo à une infolettre Listmonk

sésame

Hello tout le monde !
Avec les copines de Lesbotrans news, on cherche à mettre en place une infolettre.
On avait besoin d’un outil un peu plus poussé que le système maison de club1 donc on est passé via la Contre-Voie, un autre CHATONS, qui propose un service pour utiliser ListMonk.

Tout ça est mis en place mais on se heurt à un petit problème :
On voudrait pouvoir afficher sur notre site un formulaire pour que les gens s’abonnent à l’infolettre. Ça se passe sur cette page, où le formulaire s’affiche bien, à l’exception du CAPTCHA, ce qui empêche donc tout ça de fonctionner… Je suis loin d’être une grande connaisseuse et je suis un peu perdue dès que ça dépasse l’étape « bricoler du CSS et du HTML » donc j’ai du mal à identifier le problème, et comment le résoudre. Notamment j’essaye déjà de comprendre si le problème vient :

de ListMonk
du serveur de la Contre-Voie (à priori non, ils ont essayé sur une de leur propre page et ça marchait)
du serveur de Club1
du CMS qu’on utilise (Yellow Datenstrom).

Je me demandais donc si quelqu’un·e pouvait avoir une idée de comment je peux régler ce problème. Merci d’avance si c’est le cas !!

Un peu plus de détail ensuite pour voir si certain·es peuvent avoir une idée de ce qui pose un problème :

La portion de code (qui est généré par ListMonk) qui est censé envoyer le captcha est la suivante :

 <altcha-widget challengeurl="https://lists.lacontrevoie.fr/api/public/captcha/altcha"></altcha-widget>
    <script type="module" src="https://lists.lacontrevoie.fr/public/static/altcha.umd.js" async defer></script>

Ça utilise le widget Altcha si j’ai bien compris.

Je suis tombée sur cette discussion à propos de Altcha qui parle d’un problème assez similaire au nôtre j’ai l’impression. Mais j’avoue ne pas comprendre grand chose à la solution proposée.

J’ai fait un test en mettant le bloc de code sur une page dans notre dossier static pour voir si le problème semble venir du CMS de notre site ou d’autre part et le captcha ne marche pas non plus. Ça m’oriente donc plutôt vers un problème qui serait côté Club1, mais je suis pas trop capable de comprendre lequel. La page est là si vous voulez regarder.

En remplaçant <script type="module" src="https://lists.lacontrevoie.fr/public/static/altcha.umd.js" async="" defer=""></script> par juste <script src="https://lists.lacontrevoie.fr/public/static/altcha.umd.js" defer></script> j’arrive à afficher le captcha, mais ça ne marche pas pour autant. J’ai fait le test ici.

Voilà désolée pour cette bouteille à la mer, j’espère avoir donné les infos utiles, et n’hésitez pas si y’a besoin de précisions. Un immense merci d’avance si vous avez une idée de ce qui peu coincer !

Sam

nicolas

sésame Alors, ça aurait grave pu être la faute de CLUB1 (en particulier la CSP), mais là j’ai plutôt l’impression que le problème vient de la contrevoie. Sur ta page de test, lorsque j’ouvre les outils de développement je vois cette erreur : Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://lists.lacontrevoie.fr/public/static/altcha.umd.js. (Reason: CORS header ‘Access-Control-Allow-Origin’ does not match ‘*, *’).

J’ai l’impression que c’est à cause du fait que la réponse contient le header access-control-allow-origin en double :

HTTP/2 200 
access-control-allow-origin: *
access-control-allow-origin: *
alt-svc: h3=":443"; ma=2592000,h3-29=":443"; ma=2592000
content-encoding: gzip
content-type: text/javascript; charset=utf-8
date: Sun, 08 Mar 2026 15:11:24 GMT
last-modified: Fri, 02 Jan 2026 17:42:34 GMT
referrer-policy: no-referrer
strict-transport-security: max-age=31536000; includeSubdomains; preload
vary: Origin
vary: Accept-Encoding
via: 1.1 Caddy
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-permitted-cross-domain-policies: none
x-xss-protection: 1; mode=block
X-Firefox-Spdy: h2

Donc pour moi il faut déjà que la contrevoie résolve ce problème de leur côté. Après c’est pas forcément le seul problème ou celui qui empêche réellement le captcha de fonctionner.

vincent

Hey ! Merci pour ton récap très détaillé @sésame ! Tu as bien fait d’isoler les trucs pouvant poser problème !

J’ai posté la discussion sur le chat Matrix de La Contre-voie pour avoir des avis et j’ai eu une première réponse de FX :

Sur la page de test (https://static.club1.fr/lesbotrans/infolettreTEST.html) Firefox râle à propos d’un "Content-Security-Policy: The page’s settings blocked a worker script (worker-src) at blob:https://static.club1.fr/… from being executed because it violates the following directive: “script-src …”. Il a l’air de dire qu’il faut rajouter worker-src dans le header Content-Security-Policy?

Perso je comprends pas hyper bien tout ça, mais je transmet les infos ! 😅

vincent

Nouveau message de Neil cette fois, qui explique qu’il a déjà réparé le header HTTP dupliqué :

Je suis en relation avec la personne qui gère le site hébergé en question :)
Premièrement, le problème que tu as initialement soulevé Reason: CORS header ‘Access-Control-Allow-Origin’ does not match ‘*, *’). est correct et venait bien de chez nous. Je l’ai réglé il y a quelques heures suite à un échange de mails.
Par contre, ça ne résout pas le problème sur la page initiale (ici https://lesbotrans.club1.fr/infolettre/), qui ne semble pas inclure les balises HTML altcha-widget et script nécessaires à l’affichage du captcha. Cela semble être, à première vue, soit un oubli, soit une limitation du CMS.

Et après avoir testé le Capcha sur la page statique :

Ah, je viens de tester, effectivement il tourne en boucle. Donc en plus du code qui manque, il y a également le souci de CSP, FX a raison.

sésame

vincent merci pour tes infos.
Effectivement on a pas mal échangé par mail avec Neil pour essayer de régler le problème.

Le code « manquant » est bien dans ma page html pourtant mais semble effectivement ne pas s’afficher sur la page. Neil a réglé le problème sur la page statique de leur côté mais ça continue à coincer. J’imagine que ça doit venir de mon CMS du coup ? Mais je sais pas d’où snif…

Par contre j’ai pas bien compris, c’est quoi un CSP ?

edit : my bad j’ai relu et compris que CSP = Content Security Policy même si je comprends pas beaucoup mieux ce que c’est non plus mdr

vincent

sésame Le code « manquant » est bien dans ma page html pourtant mais semble effectivement ne pas s’afficher sur la page. Neil a réglé le problème sur la page statique de leur côté mais ça continue à coincer. J’imagine que ça doit venir de mon CMS du coup ? Mais je sais pas d’où snif…

Alors en fait, le problème de Header dupliqué provenant de La Contre-Voie réglé par Neil ne suffit pas à résoudre le problème de la page statique non-plus. On voit bien une case à cocher de Altcha, mais celle-ci tourne à l’infini car elle n’arrive pas à aller chercher une ressource.

Et comme l’a dit FX, cité plus haut, le soucis provient de la CSP car on peut lire dans la console de débuggage du navigateur :

Content-Security-Policy : Les paramètres de la page ont empêché l’exécution d’un worker script (worker-src) à l’adresse blob:https://static.club1.fr/82507373-f8d8-4dee-960c-22c6fd15afdf car il enfreint la directive suivante : « script-src https: ‘unsafe-inline’ ‘unsafe-eval’ »

sésame Par contre j’ai pas bien compris, c’est quoi un CSP ?

Le lien que tu as trouvé de Mozilla est très bien, mais oui c’est assez compliqué au premier abord car très technique. Ce sont des règles que le serveur Web impose, sous forme d’une suite de limites à ce que le navigateur aura le droit de faire ou non. Nginx et Apache sont ceux qui fournissent la CSP par défaut de chaque contenu Web fourni par le serveur club1. Hors ils sont paramétrés pour fournir des règles assez strictes dans le but d’augmenter la sécurité des sites Web des membres.

Il est possible de contredire ces règles à l’échelle d’un dossier en créant un fichier .htaccess dans ledit dossier. On peut par exemple toutes les retirer en écrivant dedans :

Header set content-security-policy ""

Le soucis de faire ça, c’est que ça désactive toutes les sécurités de la CSP. On peut essayer d’être plus précis en désactivant seulement ce dont on a besoin. La documentation de Altcha est bien consciente du soucis causé par leurs tricks de Javascript :

https://altcha.org/docs/v2/widget-integration/#content-security-policy-csp

Ils recommandent d’appliquer les réglages suivants :

script-src 'self'; worker-src 'self' blob:

Sachant que la CSP par défaut de club1 est :

script-src https: 'unsafe-inline' 'unsafe-eval'; img-src https: data: blob:; object-src 'none'; frame-ancestors 'self'

On pourrait trouver une façon de les combiner pour arriver à un compromis, mais je suis pas très sûr de comment faire. Je fais la proposition suivante :

script-src https: 'unsafe-inline' 'unsafe-eval';  worker-src 'self' blob:; img-src https: data: blob:; object-src 'none'; frame-ancestors 'self'

Ce qui donnerait à écrire dans le fichier .htaccess :

Header set content-security-policy "script-src https: 'unsafe-inline' 'unsafe-eval';  worker-src 'self' blob:; img-src https: data: blob:; object-src 'none'; frame-ancestors 'self'"

Ça marche de mon côté ici : https://vincent.club1.fr/test/listmonk/

nicolas

Je me doutais bien qu’il y aurait un problème avec la CSP mais au moment où je suis passé sur la page je n’ai pas pu le voir. Du coup ouais, bien joué @vincent d’avoir trouvé la doc à ce sujet.

Concrètement il manquait juste ça: worker-src 'self' blob:, puisque dans notre cas, script-src https: inclut script-src 'self'. Et en fait, comme worker-src prend la valeur de script-src par défault on pourrait aussi juste ajouter blob: à script-src.
Je pense que je vais faire ça au niveau de la CSP globale parce que c’est plutôt safe en soi, enfin genre c’est pas pire que 'unsafe-inline'.

EDIT: c’est fait :)

sésame

waw merci beaucoup @vincent ! je comprends que superficiellement je pense mais je comprends à peu près ce qu’il se passe. merci d’avoir autant détaillé tout ça.
du coup je viens de m’abonner à ma propre infolettre via ton site ahaha

et merci @nicolas de l’avoir intégré à club1 en général.
effectivement ça fonctionne sur mon site static maintenant et ça va nous permettre d’enfin lancer le blog !!

je vais voir comment temporairement bricoler un truc pour utiliser cette page comme page d’abonnement en attendant de voir si j’arrive aussi à résoudre le problème que pose yellow datenstrom.

merci <3

nicolas

sésame je vais voir comment temporairement bricoler un truc pour utiliser cette page comme page d’abonnement en attendant de voir si j’arrive aussi à résoudre le problème que pose yellow datenstrom.

Bien joué d’utiliser la page statique si elle fonctionne pour le moment. Mais j’aimerais bien essayer de voir ce que c’est le problème. Est-ce que tu pourrais créer une autre page temporaire/cachée sur le site principal pour que je puisse essayer d’analyser le souci ?

sésame

nicolas hello nicolas !
j’ai trainé désolée, mais voilà une page test avec le formulaire d’abonnement si tu veux faire des tests : https://lesbotrans.club1.fr/articles/test-infolettre

nicolas

Du coup sur cette page, en comparaison avec celle de static.club1.fr il manque ces deux lignes dans le code source de la page :

<altcha-widget class="captcha" challengeurl="https://lists.lacontrevoie.fr/api/public/captcha/altcha"></altcha-widget>
<script src="https://lists.lacontrevoie.fr/public/static/altcha.umd.js" defer></script>

C’est possible que ce soit à cause d’un filtrage de ton CMS, mais un peu chelou quand-même. Tu es bien sure de les avoir inclus dans les sources de ta page (avant le rendu du CMS) ? Si c’est bien le cas il va falloir que je me renseigne un peu sur Yellow, parce que c’est probablement sa faute.

sésame

nicolas oui je les ai bien inclus dans le code de base de ma page… c’est ça que j’ai jamais réussi à comprendre. Je pense que ça vient effectivement de Yellow manifestement

nicolas

Visiblement l’implem de Markdown de Yellow est basée sur celle de Michel Fortin, donc pareil que W. Normalement elle n’est pas sensée toucher aux tags HTML que tu inclus.