Aller au contenu principal

Docebo Help

Comment pouvons-nous vous aider ?

Configurer la Politique de sécurité du contenu (CSP) de la plateforme

Dernière mise à jour
Docebo module
Temps de lecture
Niveau d'utilisateur
  • Administrators

Avertissement sur la version sandbox : une partie du contenu de cet article expliquent décrit des fonctionnalités qui seront publiquement disponibles pour tous les clients fin janvier 2026. Si vous observez des différences entre ce qui y est décrit et votre plateforme, contactez votre représentant Docebo pour découvrir comment profiter de ces fonctionnalités. En savoir plus sur le cycle de publication.

Introduction 

Pour renforcer la sécurité de votre plateforme, vous pouvez activer les en-têtes de réponse relatifs à la Politique de sécurité du contenu (CSP).

Cette politique aide à empêcher l’exécution de scripts malveillants en contrôlant les sources autorisées à charger et exécuter du JavaScript dans votre environnement.

Cette fonctionnalité est optionnelle et doit être activée manuellement dans vos paramètres. Nous recommandons vivement de l’activer afin de renforcer la sécurité globale de votre plateforme.

Activer les en-têtes CSP

Pour activer et configurer les en-têtes CSP :

  1. Allez dans Menu admin > PARAMÈTRES > Paramètres avancés.
  2. Dans le volet de navigation de gauche, sélectionnez Options avancées.
  3. Faites défiler jusqu’à la section Sécurité et localisez En-têtes CSP.
  4. Cochez la case Bloquer les sources JavaScript externes, sauf pour les sites figurant sur la liste d'autorisation.
  5. Sous Liste des sources JavaScript externes autorisées, saisissez les URL des domaines de confiance autorisés à charger du JavaScript.
    • Vous pouvez ajouter jusqu’à 5 URL
    • Les caractères génériques sont pris en charge (par exemple https://*.force.com)
  6. Cliquez sur Enregistrer pour appliquer vos modifications.

Fonctionnement des en-têtes CSP

Scripts externes

Les scripts chargés depuis des sources externes (comme les CDN) ne s’exécuteront que si leur domaine figure dans votre liste d’autorisation.

Tous les scripts provenant de sources non listées seront automatiquement bloqués.

Scripts en ligne

Les scripts en ligne (JavaScript écrit directement dans le HTML) continueront de fonctionner grâce à un nonce de sécurité — un jeton à usage unique ajouté automatiquement à votre page. Cela garantit que les scripts en ligne sont fiables et peuvent s’exécuter en toute sécurité.

À noter : si un script en ligne charge dynamiquement des scripts supplémentaires, ces scripts doivent soit :
- être chargés depuis un domaine figurant sur la liste d’autorisation   
- hériter du même nonce de sécurité (voir le chapitre  propagation du nonce de sécurité)

Propagation du nonce de sécurité

Si votre script en ligne crée dynamiquement de nouveaux éléments <script> , vous devrez mettre à jour votre code pour propager le nonce. Voici un exemple de modification de votre script pour le prendre en charge.

Script original :

const script = document.createElement(’script’);
script.setAttribute(’src’,’SOME_SCRIPT_URL’);
document.querySelector(’head’).appendChild(script);

Script mis à jour avec prise en charge du nonce :

const script = document.createElement(’script’);
script.setAttribute(’src’,’SOME_SCRIPT_URL’);
if (document.currentScript.nonce) {
  script.setAttribute(’nonce’, document.currentScript.nonce);
}
document.querySelector(’head’).appendChild(script);

Cela garantit que le script chargé dynamiquement est également fiable et autorisé à s’exécuter selon la configuration de votre CSP.