« ScoreMozillaObservatory » : différence entre les versions

De Wiki FACiLe
Aller à la navigation Aller à la recherche
(Page créée avec « Voici quelques éléments: J'ai B sur mon site avec cette config: Dans Drupal 7: - Faire les update qui ont pas été fait depuis plus d'un an ? - Installer le module... »)
 
Aucun résumé des modifications
Ligne 1 : Ligne 1 :
Voici quelques éléments:
J'ai B sur mon site avec cette config:
J'ai B sur mon site avec cette config:


Ligne 8 : Ligne 6 :


- Installer le module security-kit et mettre cette config:
- Installer le module security-kit et mettre cette config:
 
     - Content Security Policy:  
     - Content Security Policy: cocher Send HTTP response header
      * cocher Send HTTP response header
default-src = https: data: 'unsafe-inline'
      * default-src = https: data: 'unsafe-inline'
     - X-XSS-Protection: choisir 1; mode=block
     - X-XSS-Protection: choisir 1; mode=block
     - X-Content-Type-Options: Cocher Send HTTP response header
     - X-Content-Type-Options: Cocher Send HTTP response header
     - Cross-site Request Forgery: Cocher HTTP Origin
     - Cross-site Request Forgery: Cocher HTTP Origin
     - Clickjacking: SameOrigin
     - Clickjacking: SameOrigin
     - SSL/TLS: * HTTP Strict Transport Security (ne pas cocher Include Subdomains à cause des autres sites qui sont pas https)
     - SSL/TLS:  
              * Max Age = 31536000
      * HTTP Strict Transport Security (ne pas cocher Include Subdomains à cause des autres sites qui sont pas https)
      * Max Age = 31536000
     - Various: cocher From-Origin
     - Various: cocher From-Origin
     - Allow loading content to same
     - Allow loading content to same
==[[Utilisateur:Francoispelletier|Francoispelletier]] ([[Discussion utilisateur:Francoispelletier|discussion]]) 29 août 2016 à 19:46 (EDT)

Version du 29 août 2016 à 18:46

J'ai B sur mon site avec cette config:

Dans Drupal 7:

- Faire les update qui ont pas été fait depuis plus d'un an ?

- Installer le module security-kit et mettre cette config:

   - Content Security Policy: 
     * cocher Send HTTP response header
     * default-src = https: data: 'unsafe-inline'
   - X-XSS-Protection: choisir 1; mode=block
   - X-Content-Type-Options: Cocher Send HTTP response header
   - Cross-site Request Forgery: Cocher HTTP Origin
   - Clickjacking: SameOrigin
   - SSL/TLS: 
      * HTTP Strict Transport Security (ne pas cocher Include Subdomains à cause des autres sites qui sont pas https)
      * Max Age = 31536000
   - Various: cocher From-Origin
   - Allow loading content to same

==Francoispelletier (discussion) 29 août 2016 à 19:46 (EDT)