Comment résoudre l’erreur “Content Security Policy The Page’s Settings Blocked the Loading of a Resource”. Assistance immédiate gratuite

/ troubleshooting / By




Comment résoudre l’erreur “Content Security Policy The Page’s Settings Blocked the Loading of a Resource”. Assistance immédiate gratuite






Comment résoudre les erreurs liées à la Politique de Sécurité de Contenu (CSP)

Découvrez comment identifier et corriger les erreurs causées par des directives CSP strictes qui bloquent des scripts ou styles nécessaires sur vos pages web. Le guide couvre les étapes pour analyser les erreurs, ajuster les directives et vérifier les modifications sur différentes plateformes comme Fusion Oracle, GitLab, ou avec un fichier web.config.

Utilisez notre chatbot gratuit, programmé pour vous aider à résoudre vos problèmes techniques efficacement.

Points Clés à Retenir

  • CSP (Politique de Sécurité de Contenu) : Une mesure de sécurité qui empêche le chargement de ressources non autorisées sur une page web.
  • Symptôme commun : Des erreurs dans la console du navigateur, telles que “Refused to load the script” ou “Refused to apply inline style”.
  • Cause : Une directive CSP rigide bloquant du contenu externe ou des scripts nécessaires.
  • Solution : Identifier, analyser et mettre à jour les directives CSP pour autoriser les ressources nécessaires tout en minimisant les risques de sécurité.

Étape 1 : Identifier l’Erreur CSP

1.1 Ouvrir les Outils de Développement

  • Chrome : Appuyez sur Ctrl + Shift + I (Windows) ou Cmd + Option + I (Mac), ou accédez à Plus d'outils > Outils de développement.
  • Firefox : Appuyez sur F12, puis passez à l’onglet “Console”.

1.2 Recharger la Page

Rafraîchissez la page en appuyant sur F5 ou en cliquant sur l’icône de rechargement dans la barre d’adresse.

1.3 Rechercher les Messages d’Erreur dans la Console

Recherchez des messages contenant :

  • Refused to load the script : Indique un blocage de script par les directives CSP.
  • Refused to apply inline style : Indique un blocage de styles en ligne.

Étape 2 : Analyser l’Erreur

  • L’origine de la ressource bloquée : Notez l’URL de l’élément bloqué, comme https://example.com/widget.js.
  • La directive causant le blocage : Identifier les directives, comme script-src 'self'.

Étape 3 : Corriger les Règles CSP

La correction des règles CSP varie selon l’application ou l’environnement utilisé. Voici des instructions pour plusieurs cas :

3.1 Applications Fusion Oracle

Étapes :

  1. Accédez aux Paramètres Administrateur :

    • Depuis l’Accueil, cliquez sur Settings and Actions > Setup and Maintenance.
    • Recherchez la tâche Manage Administrator Profile Values.

  2. Ajoutez les Origines Autorisées :

    • Recherchez ORACLE.ADF.VIEW.ALLOWED_ORIGINS.
    • Ajoutez les URL nécessaires, séparées par des espaces : 
      'self' https://guidedlearning.oracle.com https://example.com

  3. Enregistrez les Modifications : Cliquez sur Save and Close.

3.2 Sites Web Hébergés (Exemple : Fichiers web.config)

  1. Modifier le fichier web.config

    • Naviguez vers Configuration > Contenu > Édition de Templates.
    • Ouvrez le fichier web.config.

  2. Ajustez la Directive CSP

    • Autorisez les scripts nécessaires : 
      <system.webServer>
    <httpProtocol>
        <customHeaders>
            <add name="Content-Security-Policy" value="script-src 'self' https://example.com;" />
        </customHeaders>
    </httpProtocol>
</system.webServer>

  3. Redémarrez le Serveur : Cela garantit la prise en compte des modifications.

3.3 GitLab

  1. Configurer dans gitlab.rb :

    • Modifier le fichier de configuration GitLab : 
      gitlab_rails['content_security_policy'] = {
  'enabled' => true,
  'report_only' => true 
}

  2. Reconfigurer GitLab :

    • Appliquez les changements : 
      sudo gitlab-ctl reconfigure
sudo gitlab-ctl restart

  3. Activer définitivement la règle : Si tout fonctionne, changez report_only à false.

3.4 Déboguer et Tester en Local

Si vous développez en local, l’installation d’un VPN fiable comme NordVPN peut être utile pour tester les modifications à partir de contextes réseau variés.

Un outil pratique pour tester les configurations CSP localement est WebPageTest qui fournit des rapports complets sur les headers sécuritaires.

Étape 4 : Vérifier les Modifications

  1. Forcez un Rechargement Complet : Utilisez Ctrl + F5 pour recharger avec la nouvelle configuration.
  2. Confirmez dans la Console : Vérifiez que les erreurs CSP ont disparu.

Conseils d’Expert

  • Limiter les Origines Autorisées : Ne pas autoriser des URL externes non vérifiées pour éviter les failles de sécurité.
  • Utiliser l’Option “Report Only” : Activez cette option avant de déployer une politique stricte pour surveiller les violations sans conséquence.
  • Outils Recommandés :
    • Malwarebytes : Utile pour s’assurer que les scripts autorisés ne présentent pas de risques.
    • EaseUS Todo PCTrans : Pour transférer en toute sécurité les fichiers critiques nécessaires à la configuration.

Foire Aux Questions (FAQ)

1. Qu’est-ce qu’une directive CSP ?

Une directive CSP est une règle qui limite les types de contenu que peut charger une page web, pour protéger contre les attaques comme XSS.

2. Pourquoi mon script est-il bloqué malgré l’ajout dans les directives CSP ?

Assurez-vous que l’URL est correctement spécifiée dans le header et qu’elle correspond exactement (ex. : protocole HTTPS).

3. Comment tester ma politique CSP sans bloquer les visiteurs ?

Activez le mode “Report Only” pour surveiller et ajuster les règles en fonction des rapports.

4. Puis-je désactiver totalement CSP ?

Il est déconseillé de désactiver CSP car cela expose votre site à des failles de sécurité.

Ce guide exhaustif devrait vous permettre de résoudre efficacement l’erreur liée à CSP et d’assurer la sécurité de vos applications et sites web.

Post Views: 72

Related Posts

Subscribe
Subscribe