Erreur surveillance station Content Security Policy

marsuwhite · Juin 12, 2025, 10:17

Bonjour à tous,

je cherche à visionner les images de mes caméras sur ma box jeedom luna.
j’ai configuré le plugin caméras, mais il me manque la partie notification, j’ai donc installé le plugin surveillance station pour faire une synchronisation avec mon syno.
le plugin est correctement configuré, je vois bien mes caméras remonter. mais j’ai un soucis, l’affichage des caméras n’apparait pas, j’ai un message d’erreur :

Impossible de charger la ressource https://XXX.XXX.XXX.XX:443/webapi/entry.cgi?XXXXX
car elle va contre la directive de Content Security Policy :
"img-src 'self' *.jeedom.com *.google.com *.google.fr data:"

après avoir parcouru le forum et pas mal de topic identique, j’ai tenté d’ajouter l’ip de mon NAS dans le fichier /etc/apache2/conf-available/security.conf (partie img-src) mais rien n’y fait.
auriez vous une idée?

Aurel · Juin 12, 2025, 10:19

Salut,

Pour moi c’est la bonne piste.
Tu as bien redémarré ou reload apache après avoir fait cette modif ?

marsuwhite · Juin 12, 2025, 10:30

Salut,

oui, je reboot la box à chaque fois, la modification est bien prise en compte car je message d’erreur contient l’ip de mon NAS. j’ai tenté en mettant des * devant et derrière, même soucis.

Aurel · Juin 12, 2025, 10:42

Tu peux montrer ce que tu as mis dans le fichier de conf d’Apache ?

marsuwhite · Juin 12, 2025, 10:59

je viens de réinstaller le fichier apache_security par défaut. et cela semble fonctionner. j’ai l’impression qu’il y a moins de truc que dans celui qui était installé… bizzare.

ServerTokens Prod
ServerSignature off
TraceEnable Off

<Directory /var/www/html>
Options -Indexes -ExecCGI -FollowSymLinks
AllowOverride All
</Directory>

<IfModule mod_headers.c>
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "sameorigin"
Header set X-XSS-Protection "1; mode=block"
Header unset X-Powered-By
Header set Referrer-Policy: strict-origin-when-cross-origin
Header set Permissions-Policy "accelerometer=(),battery=(),fullscreen=(self),geolocation=(),camera=(),ambient-light-sensor=(self),autoplay=(self)"
Header set Content-Security-Policy "default-src 'self' file: data: blob: filesystem:;script-src-attr 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr *.googleapis.com;script-src 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr;img-src 'self' * data:;style-src 'self' 'unsafe-inline';style-src-attr 'self' 'unsafe-inline';worker-src blob:;frame-src 'self' *.jeedom.com *.google.com *.google.fr *.googleapis.com data:;"
</IfModule>