demarches-normaliennes/config/initializers/content_security_policy.rb

Rails.application.config.content_security_policy do |policy|
  # Whitelist image
  policy.img_src :self, "*.openstreetmap.org", "static.demarches-simplifiees.fr", "*.cloud.ovh.net", "stats.data.gouv.fr", "*", :data
  # Whitelist JS: nous, sendinblue et matomo
  # miniprofiler et nous avons quelques boutons inline :(
  policy.script_src :self, "stats.data.gouv.fr", "*.sendinblue.com", "*.crisp.chat", "crisp.chat", "*.sibautomation.com", "sibautomation.com", :unsafe_eval, :unsafe_inline, :blob
  # Pour les CSS, on a beaucoup de style inline et quelques balises <style>
  # c'est trop compliqué pour être rectifié immédiatement (et sans valeur ajoutée:
  # c'est hardcodé dans les vues, donc pas injectable).
  policy.style_src :self, "*.crisp.chat", "crisp.chat", :unsafe_inline
  policy.connect_src :self, "wss://*.crisp.chat", "*.crisp.chat", "*.demarches-simplifiees.fr", "in-automate.sendinblue.com", "app.franceconnect.gouv.fr", "sentry.io", "geo.api.gouv.fr", "api-adresse.data.gouv.fr", "openmaptiles.geo.data.gouv.fr", "openmaptiles.github.io", "tiles.geo.api.gouv.fr"
  # Pour tout le reste, par défaut on accepte uniquement ce qui vient de chez nous
  # et dans la notification on inclue la source de l'erreur
  policy.default_src :self, :data, :report_sample, "fonts.gstatic.com", "in-automate.sendinblue.com", "player.vimeo.com", "app.franceconnect.gouv.fr", "sentry.io", "static.demarches-simplifiees.fr", "*.crisp.chat", "crisp.chat", "*.crisp.help", "*.sibautomation.com", "sibautomation.com", "data"
  if Rails.env.development?
    # Les CSP ne sont pas appliquées en dev: on notifie cependant une url quelconque de la violation
    # pour détecter les erreurs lors de l'ajout d'une nouvelle brique externe durant le développement
    policy.report_uri "http://#{ENV['APP_HOST']}/csp/"
    # En développement, quand bin/webpack-dev-server est utilisé, on autorise les requêtes faites par le live-reload
    policy.connect_src(*policy.connect_src, "ws://localhost:3035", "http://localhost:3035")
  end
end
add security policy 2019-05-03 15:25:51 +02:00			`Rails.application.config.content_security_policy do \|policy\|`
handle Gon + add report-uri URL 2019-05-03 16:12:24 +02:00			`# Whitelist image`
add duplicate rules as fallback 2019-06-20 09:53:27 +02:00			`policy.img_src :self, ".openstreetmap.org", "static.demarches-simplifiees.fr", ".cloud.ovh.net", "stats.data.gouv.fr", "*", :data`
update on the security policy headers 2019-05-09 14:55:21 +02:00			`# Whitelist JS: nous, sendinblue et matomo`
			`# miniprofiler et nous avons quelques boutons inline :(`
add duplicate rules as fallback 2019-06-20 09:53:27 +02:00			`policy.script_src :self, "stats.data.gouv.fr", ".sendinblue.com", ".crisp.chat", "crisp.chat", "*.sibautomation.com", "sibautomation.com", :unsafe_eval, :unsafe_inline, :blob`
add security policy 2019-05-03 15:25:51 +02:00			`# Pour les CSS, on a beaucoup de style inline et quelques balises <style>`
			`# c'est trop compliqué pour être rectifié immédiatement (et sans valeur ajoutée:`
handle Gon + add report-uri URL 2019-05-03 16:12:24 +02:00			`# c'est hardcodé dans les vues, donc pas injectable).`
enable csp 2019-06-27 11:10:29 +02:00			`policy.style_src :self, "*.crisp.chat", "crisp.chat", :unsafe_inline`
Migrate the map editor to mapbox-gl with react component 2020-04-16 17:39:41 +02:00			`policy.connect_src :self, "wss://.crisp.chat", ".crisp.chat", "*.demarches-simplifiees.fr", "in-automate.sendinblue.com", "app.franceconnect.gouv.fr", "sentry.io", "geo.api.gouv.fr", "api-adresse.data.gouv.fr", "openmaptiles.geo.data.gouv.fr", "openmaptiles.github.io", "tiles.geo.api.gouv.fr"`
add security policy 2019-05-03 15:25:51 +02:00			`# Pour tout le reste, par défaut on accepte uniquement ce qui vient de chez nous`
			`# et dans la notification on inclue la source de l'erreur`
Add crips help domaine to defaut policy src [fix #4234] Signed-off-by: Chaïb Martinez <chaibax@gmail.com> 2019-08-26 12:26:16 +02:00			`policy.default_src :self, :data, :report_sample, "fonts.gstatic.com", "in-automate.sendinblue.com", "player.vimeo.com", "app.franceconnect.gouv.fr", "sentry.io", "static.demarches-simplifiees.fr", ".crisp.chat", "crisp.chat", ".crisp.help", "*.sibautomation.com", "sibautomation.com", "data"`
config: configure CSP to allow live-reload requests This avoids CSP errors when using the `bin/webpack-dev-server` external assets compilation server. 2020-03-17 17:41:58 +01:00			`if Rails.env.development?`
			`# Les CSP ne sont pas appliquées en dev: on notifie cependant une url quelconque de la violation`
			`# pour détecter les erreurs lors de l'ajout d'une nouvelle brique externe durant le développement`
			`policy.report_uri "http://#{ENV['APP_HOST']}/csp/"`
			`# En développement, quand bin/webpack-dev-server est utilisé, on autorise les requêtes faites par le live-reload`
config: fix (again) the CSP when running a LiveReload server locally When running the app using `bin/webpack-dev-server` (the external (and fast) assets server), LiveReload is used. We need to explicitely allow the LiveReload connections in the CSP policy. Turns out we now need to specify the protocol explicitely. 2020-04-20 17:24:16 +02:00			`policy.connect_src(*policy.connect_src, "ws://localhost:3035", "http://localhost:3035")`
config: configure CSP to allow live-reload requests This avoids CSP errors when using the `bin/webpack-dev-server` external assets compilation server. 2020-03-17 17:41:58 +01:00			`end`
handle Gon + add report-uri URL 2019-05-03 16:12:24 +02:00			`end`