Content-Security-Policy : Protéger votre site sans bloquer vos utilisateurs

Table des matières

Qu’est-ce qu’une Content-Security-Policy (CSP) ?

La CSP est un header HTTP qui indique au navigateur quelles ressources il est autorisé à charger (scripts, styles, images, etc.) et depuis quelles sources.

Son objectif principal : empêcher l’exécution de contenu non prévu dans la page, comme un script malveillant injecté par un attaquant (attaque XSS).

Prenons un exemple simple :

Content-Security-Policy: default-src 'self'

Sans CSP, le navigateur l’exécutera. Avec une bonne politique, il le bloquera purement et simplement.

Intégrer une CSP dans Nginx

Dans Nginx, la CSP se configure via une directive add_header dans votre bloc server {} ou location {}.

Exemple basique :

add_header Content-Security-Policy "default-src 'self'" always;

add_header Content-Security-Policy “default-src ‘self’; script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’ https:; style-src ‘self’ ‘unsafe-inline’ https:; img-src ‘self’ data: https:; font-src ‘self’ https: data:; connect-src ‘self’ https:; frame-ancestors ‘self’;” always;

Détails des directives :

• default-src 'self' : autorise uniquement les ressources locales par défaut
• script-src : autorise JS inline (si nécessaire) + sources HTTPS
• style-src : idem pour les feuilles CSS
• img-src : autorise les images locales, en base64 (data:) et via CDN
• font-src : autorise les polices locales + Google Fonts
• connect-src : autorise les connexions Ajax/Fetch/WebSocket
• frame-ancestors 'self' : empêche l’intégration dans une iframe par un autre domaine

💡 Tu peux affiner chaque directive selon les besoins de ton site.

CSP et environnement frontend moderne

Si tu utilises un framework comme Vue, React, Angular ou un CMS comme WordPress, il faut adapter la CSP :

• WordPress + Elementor : attention à unsafe-inline pour les styles et scripts dans les shortcodes.
• React / Vue avec Webpack : éviter unsafe-eval si possible.
• CDN (Bootstrap, jQuery) : autorise https: dans script-src et style-src.

Exemple spécifique WordPress avec CDN :

add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' https://cdn.jsdelivr.net https://code.jquery.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.com;" always;

add_header Content-Security-Policy-Report-Only “default-src ‘self’; script-src ‘self’ https:;” always;

Couple ça avec une plateforme de monitoring CSP comme :

• https://report-uri.com
• https://csp-evaluator.withgoogle.com

Où ajouter la CSP dans Nginx ?

Toujours dans le bloc server {} ou directement dans un location si tu veux l’appliquer uniquement sur des zones sensibles (/admin, /login, etc.)

Important : ajoute always pour que le header soit appliqué même sur les pages 404/500.

Conseils pratiques

• 🔁 Teste ta CSP sur un environnement de staging avant production
• ✅ Utilise report-only pour analyser sans casse
• 🔍 Inspecte les erreurs CSP dans la console développeur de ton navigateur
• 🧪 Utilise csp-evaluator pour voir les failles potentielles
• ❌ Évite unsafe-inline et unsafe-eval si ton frontend le permet
• 🧩 Ne bloque jamais img-src data: si tu utilises des images en base64 (ex. avatars dans WordPress)

Tester votre configuration

Voici les meilleurs outils pour valider ta politique CSP :

• https://securityheaders.com
• https://observatory.mozilla.org
• https://csp-evaluator.withgoogle.com

Avec une CSP bien configurée, ton site obtiendra facilement un score A ou A+ sur ces plateformes.

Cas réel : CSP dans un contexte scolaire (site avec sous-répertoires)

Si tu héberges des applications ou sites étudiants dans des sous-répertoires (/tata, /toto, etc.), tu peux appliquer une CSP globale dans un bloc avec regex :

location ~ ^/([a-z0-9-]+)(/.*)?$ {
    root /home/app/htdocs;
    try_files $uri $uri/ /$1/index.php?$args;

    add_header Content-Security-Policy "default-src 'self'; script-src 'self' https:;" always;
}