Discussion :

[saluts92]

Bonjour

Comment empecher ex�cution des widget javascript depuis la barre d'outils navigateur pour mon site s'il vous plait ?

du genre

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

javascript:void((function(){..........})())

Merci

[Watilin]

Ce genre de code s�appelle un bookmarklet. C�est une m�thode des ann�es 90-2000, normalement les navigateurs actuels la bloquent pour prot�ger les gens contre les piratages de type ing�nierie sociale (du genre � copie ce code et tu pourras hacker le compte Facebook de tes amis ! �).

Pour faire une r�ponse courte : tu n�as rien � faire

Cependant, il faut que tu saches qu�il n�y a aucun moyen s�r d�emp�cher une personne d�ex�cuter du code JS arbitraire sur ton site. Il suffit d�ouvrir la console en appuyant sur F12. Dans les cas les plus complexes, un attaquant aura recours � une extension de navigateur, voire m�me un navigateur modifi�, pour arriver � ses fins.

En r�alit�, tu n�as aucun contr�le sur ce qui se passe c�t� client. Si tu as des donn�es � prot�ger, cette protection doit se faire c�t� serveur. Si ton souci est de garantir la propri�t� intellectuelle d�une �uvre (image, audio, video), le plus simple est de publier une version en qualit� limit�e.

[Beginner.]

Salut,

Je n'ai pas compris on peut cot� client ex�cuter du code JS arbitraire sur un site ? Ou bien tu veux dire sur la page du site charg�e dans le navigateur ?

J'ai vu que certains sites bloquaient le copier/coller mais comme dit Watilin on peut toujours acc�der au contenu de la page via la console...

Sinon pour infos j'utilise parfois ce genre de code pour changer les couleurs de la page et j'ai remarqu� que cela ne fonctionnait pas sur certains sites (github par exemple) mais c'est avec FF pas chrome...

[Watilin]

Sinon pour infos j'utilise parfois ce genre de code pour changer les couleurs de la page et j'ai remarqu� que cela ne fonctionnait pas sur certains sites (github par exemple) mais c'est avec FF pas chrome...

Github sert ses pages avec un en-t�te Content Security Policy (CSP) et d�clare default-src 'none'. Cela interdit, entre autres, les <script> inline (qui ne sont pas dans un fichier s�par�) et les � liens � en javascript:. Voir l�option 'unsafe-inline' sur la page de doc de default-src.

�a peut �tre effectivement une piste � explorer. Mais la puissance de CSP n�est pas sans contraintes : elle fonctionne comme une liste blanche, par d�faut tout est bloqu�, et il faut pr�ciser explicitement tout ce qu�on veut autoriser. On peut trouver �a fastidieux, il n�y a qu�� voir la taille des en-t�tes CSP de Github pour se faire une id�e.

[Beginner.]

Ah ben tout s'explique, merci Watilin !