Support natif pour Content Security Policy (CSP) en 6.0
Concept/Outil du jour : Le support intégré de CSP (Content Security Policy) dans Django 6.0 alpha 1.
Annoncé hier, c'est un middleware dédié (ContentSecurityPolicyMiddleware
) qui ajoute des headers CSP pour bloquer les injections XSS et autres attaques en définissant des sources fiables (scripts, styles, etc.). Tu configures via SECURE_CSP
et SECURE_CSP_REPORT_ONLY
, avec support des nonces pour les templates. C'est un game-changer pour la sécu sans libs tierces !
Pourquoi c'est utile ? Rend tes apps plus robustes contre les vulnérabilités courantes ; parfait pour des APIs ou sites e-commerce. Python 3.12 est le min requis, donc upgrade si besoin.
Comment tester ? Installe l'alpha via pip install django==6.0a1
, active le middleware et teste avec des outils comme CSP Evaluator. Notes de release complètes ici.
Doc : Doc officiel
Une vidéo youtube qui explique d'avantage :
Top comments (0)