Aller au contenu

CSP : C'est Super Palpitant

Par Nicolas Hoffmann

Atelier :
Langue :
Français
  • Diaporama
  • Le sujet

    Le standard Content Security Policy (CSP) a été pensé pour réduire la surface d'attaque sur le front-end vis-à-vis des attaques dites de Cross-Site-Scripting (en anglais : mitigate XSS). En pratique, CSP permet d'aller beaucoup plus loin et offre de nombreux outils qui dépassent de loin ce seul but, et vous offre une vision très élargie du front-end et même plus (il n'est pas exclu que nous passions par HTTPS ou même WebExtensions au détour d'une directive CSP).

    CSP est aussi — et assez injustement — souvent vu comme très difficile à déployer, interdisant de nombreuses choses sur le front-end et délicat à suivre.

    Je compte bien tordre le cou à cette légende urbaine avec vous (parce que ce sont nos directives CSP, comprenne qui pourra). Ensemble, nous verrons des outils et surtout des méthodes très simples tirées de mon expérience de plusieurs années sur cette technologie pour pouvoir l'aborder sereinement et partir du bon pied, le tout de manière très progressive.

    Il est même possible que les questions que CSP va vous poser… vous fassent regarder différemment votre front-end.

    (Sans que ce soit obligatoire, si vous souhaitez expérimenter durant cet atelier, apportez votre ordinateur.)

    Présenté par