Cluster C3 : Réseau et sécurité
Erreurs CSP qui cassent la production
Le vrai danger d'une CSP n'est pas sa syntaxe mais le blocage silencieux de ressources après déploiement.
Le problème le plus fréquent : la politique ne reflète pas les vraies dépendances
Les équipes vérifient souvent que la page s'ouvre, mais pas que scripts tiers, polices, frames et endpoints externes sont bien autorisés.
Si `script-src`, `connect-src` ou `frame-src` oublient un domaine réel, la production casse sans forcément produire des erreurs HTTP visibles.
Déployer plus proprement
- Commencer par Report-Only pour collecter les violations réelles.
- Mettre à jour CSP et tests de régression à chaque nouveau domaine ou script tiers.
- Comparer les headers en déploiement pour détecter une réécriture par CDN ou proxy.
Exemple pratique entrée/sortie
Entrée
Content-Security-Policy: script-src 'self'; connect-src 'self'
Sortie
Appel frontend vers https://api.partner.com bloqué il faut ajouter ce domaine à connect-src