Aller au contenu

CSP : C'est Super Palpitant

Par Nicolas Hoffmann

Atelier (1 h 30) :
Langue :
Français
  • Diaporama

    • Le sujet

    Le standard Content Security Policy (CSP) a été pensé pour réduire la surface d'attaque sur le front-end vis-à-vis des attaques dites de Cross-Site-Scripting (en anglais : mitigate XSS). En pratique, CSP permet d'aller beaucoup plus loin et offre de nombreux outils qui dépassent de loin ce seul but, et vous offre une vision très élargie du front-end et même plus (il n'est pas exclu que nous passions par HTTPS ou même WebExtensions au détour d'une directive CSP).

    CSP est aussi — et assez injustement — souvent vu comme très difficile à déployer, interdisant de nombreuses choses sur le front-end et délicat à suivre.

    Je compte bien tordre le cou à cette légende urbaine avec vous (parce que ce sont nos directives CSP, comprenne qui pourra). Ensemble, nous verrons des outils et surtout des méthodes très simples tirées de mon expérience de plusieurs années sur cette technologie pour pouvoir l'aborder sereinement et partir du bon pied, le tout de manière très progressive.

    Il est même possible que les questions que CSP va vous poser… vous fassent regarder différemment votre front-end.

    (Sans que ce soit obligatoire, si vous souhaitez expérimenter durant cet atelier, apportez votre ordinateur.)

    Présenté par

    Nicolas Hoffmann
    Nicolas Hoffmann

    Nicolas est développeur front-end, expert en qualité Web et éleveur de composants accessibles en plein air depuis plusieurs années.

    Directeur du collectif OpenWeb, conférencier à divers événements comme Paris Web, Codeurs en Seine ou Web In Alps, il est également l'auteur du micro-framework CSS Röcssti, du projet Van11y, d'une base de connaissances sur CSP et de plus d'une cinquantaine d'articles sur divers sujets comme la conception de CSS, CSP, la qualité Web, la sécurité, etc.

    Son quotidien est de dompter les CSS ainsi que toutes les joyeusetés du front-end et du responsive par les sabres lasers de l'amélioration progressive et de l'accessibilité, le tout avec un niveau d'exigence qualitatif proche de la très haute horlogerie suisse.

    Il se murmure dans les milieux autorisés qu'il est surnommé le « suisse-allemand de la qualité web ».