Configuration des headers
Suite a un test sur securityheaders, j’ai reçu une note en C.
c’est moche ..
Après recherche, voici les 3 points de corrections qui m’ont finalement donné la note A+
La correction se fait dans le vhost.
- Pour Strict-Transport-Security il faut rajouter.
|
1 |
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; |
- Pour Content-Security-Policy il faut rajouter.
|
1 |
add_header Content-Security-Policy "default-src 'self';"; |
- Pour Referrer-Policy il faut rajouter .
|
1 |
add_header 'Referrer-Policy' 'origin'; |
Un nouveau test sur securityheaders me renvoi un A+
Ça fait plaisir 🙂
Un nouveau test sur Qualys me renvoi également un A+
Les urls essentiels pour tester les sites:
https://www.ssllabs.com/ssltest/
Quelques sources:
https://www.nginx.com/blog/http-strict-transport-security-hsts-and-nginx
https://content-security-policy.com
https://scotthelme.co.uk/a-new-security-header-referrer-policy
https://ultrawaves.fr/blog/index.php?post/2016/11/21/CSP-et-javascript-inline
https://memo-linux.com/securiser-son-site-web-sous-nginx-avec-lajout-den-tetes-headers
/!\ Nota: Après mettre documenté sur le CSP, j’ai bien galéré pour le configurer correctement, malheureusement divers scripts reste bloqués.
J’ai vu sur beaucoup de site que l’on pouvait utiliser la configuration suivante mais cela me bloque encore certains scripts qui font des appels externe.
|
1 |
add_header Content-Security-Policy "default-src 'self'; img-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'"; |
J’ai bien compris qu’il fallait que je mette des exceptions mais il faut que je joue avec le mode inspecteur du navigateur.
Bref reste encore du travail, j’en ai profité pour scanner quelques sites connus et soit la plupart ne le configure pas soit il est également en mode unsafe-inline.