Erreur directive de Content Security Policy

manu68 · Juillet 2, 2023, 7:50

Salut, j’ai depuis peu de nouveau le problème

J’ai modifié comme indiqué dans le forum le fichier : /etc/apache2/conf-available/security.conf
cependant j’ai toujours le même problème. Je pense avoir fait une boulette de recopie.

pourriez vous me dire si votre fichier c’est bien ça :

<Directory /var/www/html>
Options -Indexes -ExecCGI -FollowSymLinks
AllowOverride All
</Directory>

<IfModule mod_headers.c>
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "sameorigin"
Header set X-XSS-Protection "1; mode=block"
Header unset X-Powered-By
Header set Referrer-Policy: strict-origin-when-cross-origin
Header set Permissions-Policy "accelerometer=(),battery=(),fullscreen=(self),geolocation=(),camera=(),ambient-light-sensor=(self),autoplay=(self)"
Header set Content-Security-Policy "default-src 'self' file: data: blob: filesystem:;script-src-attr 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr *.googleapis.com;script-src 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;img-src 'self' *.jeedom.com *.google.com *.google.fr *.googleapis.com *.openstreetmap.fr data:;style-src 'self' 'unsafe-inline';style-src-attr 'self' 'unsafe-inline';worker-src blob:;frame-src 'self' *.jeedom.com *.google.com *.google.fr *.googleapis.com *.openstreetmap.fr data:;"
</IfModule>

Merci

yoyouri · Juillet 2, 2023, 8:02

Hello
Commencez par ça

manu68 · Juillet 2, 2023, 8:08

Jeedom Core : 4.3.17
Version JC : 1.8.0.1 stable
DNS Jeedom : oui
Statut Démon : Stoppé - (NA)

Equipements :
  Clémentine : v1.8.0 stable sur ios [os : 16.5] (polling) - PR
  egu : v1.8.0 stable sur ios [os : 16.5.1] (polling) - PA
  Mael : v1.8.0 stable sur ios [os : 16.5.1] (polling) - PA
  ngu : v1.8.0 stable sur ios [os : 16.5.1] (polling) - PU

manu68 · Juillet 3, 2023, 4:54

Quelqu’un pourrais me filer son fichier : /etc/apache2/conf-available/security.conf pour que je compare ?

Merci

jpty · Juillet 3, 2023, 5:41

Le fichier original avec l’autorisation pour openstreetmap et avant son insertion dans apache se trouve là:

github.com

jeedom/core/blob/alpha/install/apache_security

<Directory /var/www/html>
Options -Indexes -ExecCGI -FollowSymLinks
AllowOverride All
</Directory>

<IfModule mod_headers.c>
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "sameorigin"
Header set X-XSS-Protection "1; mode=block"
Header unset X-Powered-By
Header set Referrer-Policy: strict-origin-when-cross-origin
Header set Permissions-Policy "accelerometer=(),battery=(),fullscreen=(self),geolocation=(),camera=(),ambient-light-sensor=(self),autoplay=(self)"
Header set Content-Security-Policy "default-src 'self' file: data: blob: filesystem:;script-src-attr 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr *.googleapis.com;script-src 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;img-src 'self' *.jeedom.com *.google.com *.google.fr *.googleapis.com *.openstreetmap.fr data:;style-src 'self' 'unsafe-inline';style-src-attr 'self' 'unsafe-inline';worker-src blob:;frame-src 'self' *.jeedom.com *.google.com *.google.fr *.googleapis.com data:;"
</IfModule>

manu68 · Juillet 3, 2023, 6:40

jpty:

<Directory /var/www/html>
Options -Indexes -ExecCGI -FollowSymLinks
AllowOverride All
</Directory>

<IfModule mod_headers.c>
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "sameorigin"
Header set X-XSS-Protection "1; mode=block"
Header unset X-Powered-By
Header set Referrer-Policy: strict-origin-when-cross-origin
Header set Permissions-Policy "accelerometer=(),battery=(),fullscreen=(self),geolocation=(),camera=(),ambient-light-sensor=(self),autoplay=(self)"
Header set Content-Security-Policy "default-src 'self' file: data: blob: filesystem:;script-src-attr 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr *.googleapis.com;script-src 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;img-src 'self' *.jeedom.com *.google.com *.google.fr *.googleapis.com *.openstreetmap.fr data:;style-src 'self' 'unsafe-inline';style-src-attr 'self' 'unsafe-inline';worker-src blob:;frame-src 'self' *.jeedom.com *.google.com *.google.fr *.googleapis.com data:;"
</IfModule>

Malheureusement, malgré la remise du fichier. J’ai toujours la même erreur.

PS : J’ai redémarré Apache et redémarrer le jeedom

jpty · Juillet 3, 2023, 8:55

Vous êtes passés par la procédure officieuse ?

Modification du fichier install/apache_security
Puis installation du fichier dans apache avec ce menu accessible par Ctrl click sur le nom de votre Jeedom sous l’horloge

image465×550 15.5 KB

manu68 · Juillet 3, 2023, 9:38

Heuuu j’ai pas tout compris. J’suis passé par une solution proposé dans le forum. Mais je n’ai pas trop compris ce que tu indiques.

manu68 · Juillet 3, 2023, 9:47

je pense avoir compris. je suis allé donc dans editeur de fichier.
j’ai modifier le fichier

puis je suis allé dans le nom de jeedo avec le clic droit et j’ai cliqué sur « Apache sécurisé »

ca m’a mis

mais ça ne fonctionne toujours pas. snif

jpty · Juillet 4, 2023, 6:15

Bonjour,
En passant en « Apache non sécurisé » (temporairement), est-ce que ça fonctionne?

manu68 · Juillet 4, 2023, 3:25

oui le message est un peu différent :

michel76 · Juillet 5, 2023, 9:59

Bonjour a tous,
Je suis dans le même cas que @manu68 j’ai exactement les mêmes erreurs.

manu68 · Juillet 7, 2023, 10:19

Snifff aucune solution ?

manu68 · Juillet 10, 2023, 4:49

Bonjour, je me permet de réitérer ma demande. Ne pouvant pas ouvrir de ticket support auprès de Jeedom. Il me renvoi vers l’éditeur du programme.

Y’a t’il un moyen que quelqu’un prenne en charge ma demande ?

tomitomas · Juillet 10, 2023, 6:21

Salut

« L editeur du programme » est jeedom, puisque c est une restriction qui est mise par le core.
Suffit donc de creer un ticket sur le ‹ core › et non pas sur JC.

Si tu as correctement appliqué les chgt proposés par @jpty, pas de raison que ca bloque en principe.

jpty · Juillet 10, 2023, 6:46

Bonsoir,
Vous n’auriez pas quelque part dans l’arborescence de Jeedom, un fichier .htaccess avec une directive pour openstreetmap ?
A vérifier avec cette commande:
find /var/www/html -name .htaccess -print | xargs grep openstreet
Commande à lancer dans la fenêtre accessible par Ctrl click sur le nom de votre Jeedom sous l’horloge.

Bad · Juillet 10, 2023, 6:54

Attention, je pense que *.openstreetmap.fr ne match pas a.tile.openstreetmap.fr, il faudrait ajouter *.tile.openstreetmap.fr.

Bad

jpty · Juillet 11, 2023, 5:31

Bonjour,
Effectivement *.openstreetmap.fr n’autorise que les images présentes sur par exemple la page d’accueil du site. Pour les tiles, c’est plus compliqué.

Testé avec ce fichier html minimaliste placé à la racine de Jeedom:

<!DOCTYPE html>
<html lang="fr">
  <head>
    <meta charset=UTF-8>
    <title>Test CSP</title>
  </head>
  <body>
    <img src="https://www.openstreetmap.fr/wp-content/uploads/2022/06/StateofTheMap22-L-1721-e1655822120648-600x330.jpg"></img>
    <img src="https://a.tile.openstreetmap.fr/osmfr/13/4261/2846.png"></img>
  </body>
</html>

En 4.3 qui n’a pas encore reçu *.openstreetmap.fr dans la config sécurisé d’Apache, les images ne s’affiche pas. 2 erreurs de CSP dans la console
Après l’ajout de *.openstreetmap.fr, seule la 1ère image s’affiche (celle de leur page d’accueil)
En config apache non sécurisé, les 2 images s’affichent.

L’ajout de *.tile.openstreetmap.fr ne suffit pas non plus.
Reste à googler ce qu’il faudrait ajouter pour que les tiles s’affichent.

jpty · Juillet 11, 2023, 6:20

Après ajout de *.openstreetmap.org et *.openstreetmap.fr ça fonctionne chez moi.

Mon fichier install/apache_security de Jeedom complet.

<Directory /var/www/html>
Options -Indexes -ExecCGI -FollowSymLinks
AllowOverride All
</Directory>

<IfModule mod_headers.c>
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "sameorigin"
Header set X-XSS-Protection "1; mode=block"
Header unset X-Powered-By
Header set Referrer-Policy: strict-origin-when-cross-origin
Header set Permissions-Policy "accelerometer=(),battery=(),fullscreen=(self),geolocation=(),camera=(),ambient-light-sensor=(self),autoplay=(self)"
Header set Content-Security-Policy "default-src 'self' file: data: blob: filesystem:;script-src-attr 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr *.googleapis.com;script-src 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;img-src 'self' *.jeedom.com *.google.com *.google.fr *.googleapis.com *.openstreetmap.fr *.openstreetmap.org data:;style-src 'self' 'unsafe-inline';style-src-attr 'self' 'unsafe-inline';worker-src blob:;frame-src 'self' *.jeedom.com *.google.com *.google.fr *.googleapis.com data:;"
</IfModule>

A installer en utilisant Erreur directive de Content Security Policy - #7 par jpty car il faut redémarrer Apache

Merci Bad pour la piste *.tile.openstreetmap.fr mais dans mes derniers tests *.openstreetmap.fr match *.tile.openstreetmap.fr

tomitomas · Juillet 11, 2023, 6:22

Etrange !
Il me semblait que justement le necessaire avait ete fait pour :