Seguretat per defecte
La configuració per defecte del tema obté una puntuació A+ a l’Observatori de Mozilla.[1]
Això s’aconsegueix configurant programàticament les capçaleres de la Política de Seguretat de Contingut (CSP) basant-se en una llista de dominis permesos definida per l’usuari en el fitxer config.toml
. Aquí tens la configuració per defecte i recomanada (pots eliminar l’última directiva si no vols inserir vídeos de YouTube):
[]
= [
{ = "font-src", = ["'self'", "data:"] },
{ = "img-src", = ["'self'", "https://*", "data:"] },
{ = "script-src", = ["'self'"] },
{ = "style-src", = ["'self'"] },
{ = "frame-src", = ["https://www.youtube-nocookie.com"] },
]
La llista allowed_domains
especifica les URLs a les quals el lloc web hauria de poder connectar-se, i cada domini de la llista està associat amb una directiva CSP com frame-src
, connect-src
o script-src
. El fitxer templates/partials/header.html
genera dinàmicament la capçalera CSP basant-se en aquesta llista.
Aquesta funcionalitat permet personalitzar fàcilment les capçaleres de seguretat del lloc web per permetre casos d’ús específics, com ara inserir vídeos de YouTube, carregar scripts o tipografies remotes (no recomanat).
Pots desactivar les capçaleres (permitint-ho tot) en una pàgina, secció, o globalment configurant enable_csp = false
en el front matter o en el fitxer config.toml
.
Notas:
Habilitar els comentaris o les analítiques automàticament permet scripts/frames/estils/connexions en funció del servei habilitat.
Per utilitzar un tema de resaltat de sintaxis integrat a Zola, has de permetre
unsafe-inline
a la directivastyle-src
:{ directive = "style-src", domains = ["'self'", "'unsafe-inline'"] },
Requereix una configuració adequada del servidor web (p. ex., redirigir el trànsit HTTP a HTTPS). ↩