ajout projet cms elyes
This commit is contained in:
elyes
63
cms_simplifie/.htaccess
Normal file
63
cms_simplifie/.htaccess
Normal file
@@ -0,0 +1,63 @@
|
||||
# ===================================================================
|
||||
# Sécurité de base
|
||||
# ===================================================================
|
||||
ServerSignature Off
|
||||
Options -Indexes
|
||||
FileETag None
|
||||
AddDefaultCharset UTF-8
|
||||
|
||||
|
||||
|
||||
|
||||
# Bloque fichiers cachés (.env, .git, etc.) et configs/dev
|
||||
<FilesMatch "^(\.|composer\.(json|lock)|package(-lock)?\.json|Dockerfile|docker-compose\.yml|.*\.env|.*\.sql|.*\.md)$">
|
||||
Require all denied
|
||||
</FilesMatch>
|
||||
|
||||
# Forcer une page 404 propre
|
||||
ErrorDocument 404 /page404.php
|
||||
|
||||
# Empêche l'accès direct aux dossiers non publics
|
||||
RewriteEngine On
|
||||
RewriteRule ^inc/ - [F,L,NC]
|
||||
RewriteRule ^sql/ - [F,L,NC]
|
||||
|
||||
|
||||
# Méthodes HTTP autorisées (GET/POST/HEAD)
|
||||
<LimitExcept GET POST HEAD>
|
||||
Require all denied
|
||||
</LimitExcept>
|
||||
|
||||
|
||||
<IfModule mod_headers.c>
|
||||
# Empêche le framing (clickjacking)
|
||||
Header always set X-Frame-Options "SAMEORIGIN"
|
||||
|
||||
# Empêche le MIME sniffing
|
||||
Header always set X-Content-Type-Options "nosniff"
|
||||
|
||||
# Politique du Referer
|
||||
Header always set Referrer-Policy "strict-origin-when-cross-origin"
|
||||
|
||||
# Permissions API (désactive tout par défaut)
|
||||
Header always set Permissions-Policy "accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), midi=(), payment=(), usb=(), interest-cohort=()"
|
||||
|
||||
# Politique de ressources cross-origin
|
||||
Header always set Cross-Origin-Resource-Policy "same-origin"
|
||||
Header always set Cross-Origin-Opener-Policy "same-origin"
|
||||
|
||||
|
||||
|
||||
# Content Security Policy (CSP)
|
||||
# - autorise CSS en ligne
|
||||
# - pas d'exec JS hormis le fichier local .js (je n'ai pas utilisé de code javascript donc le site ne devrait jamais utiliser de code js )
|
||||
Header always set Content-Security-Policy "default-src 'self'; base-uri 'self'; frame-ancestors 'self'; object-src 'none'; img-src 'self' data:; font-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self'; connect-src 'self'"
|
||||
|
||||
|
||||
</IfModule>
|
||||
|
||||
|
||||
# Redirection sécurisé: racine -> /public
|
||||
RewriteCond %{REQUEST_URI} ^/$
|
||||
RewriteRule ^$ public/ [R=302,L]
|
||||
|
||||
Reference in New Issue
Block a user