Aller au contenu principal

Docebo Help

Comment pouvons-nous vous aider ?

Configurer la Politique de sécurité du contenu (CSP) de la plateforme

Dernière mise à jour
Docebo module
Temps de lecture
Niveau d'utilisateur
  • Administrators

Introduction 

Pour renforcer la sécurité de votre plateforme, vous pouvez activer les en-têtes de réponse relatifs à la Politique de sécurité du contenu (CSP).

Cette politique aide à empêcher l’exécution de scripts malveillants en contrôlant les sources autorisées à charger et exécuter du JavaScript dans votre environnement.

Cette fonctionnalité est optionnelle et doit être activée manuellement dans vos paramètres. Nous recommandons vivement de l’activer afin de renforcer la sécurité globale de votre plateforme.

Activer les en-têtes CSP

Pour activer et configurer les en-têtes CSP :

  1. Sélectionnez Menu de navigation > Configuration (icône clé à molette) > Configuration de la plateforme et outils > Paramètres avancés.
  2. Dans le volet de navigation de gauche, sélectionnez Options avancées.
  3. Faites défiler jusqu’à la section Sécurité et localisez En-têtes CSP.
  4. Cochez la case Bloquer les sources JavaScript externes, sauf pour les sites figurant sur la liste d'autorisation.
  5. Sous Liste des sources JavaScript externes autorisées, saisissez les URL des domaines de confiance autorisés à charger du JavaScript.
    • Vous pouvez ajouter jusqu’à 5 URL
    • Les caractères génériques sont pris en charge (par exemple https://*.force.com)
  6. Cliquez sur Enregistrer pour appliquer vos modifications.

Fonctionnement des en-têtes CSP

Scripts externes

Les scripts chargés depuis des sources externes (comme les CDN) ne s’exécuteront que si leur domaine figure dans votre liste d’autorisation.

Tous les scripts provenant de sources non listées seront automatiquement bloqués.

Scripts en ligne

Les scripts en ligne (JavaScript écrit directement dans le HTML) continueront de fonctionner grâce à un nonce de sécurité — un jeton à usage unique ajouté automatiquement à votre page. Cela garantit que les scripts en ligne sont fiables et peuvent s’exécuter en toute sécurité.

À noter : si un script en ligne charge dynamiquement des scripts supplémentaires, ces scripts doivent soit :
- être chargés depuis un domaine figurant sur la liste d’autorisation   
- hériter du même nonce de sécurité (voir le chapitre  propagation du nonce de sécurité)

Propagation du nonce de sécurité

Si votre script en ligne crée dynamiquement de nouveaux éléments