Support natif pour Content Security Policy (CSP) en 6.0
Concept/Outil du jour : Le support intégré de CSP (Content Security Policy) dans Django 6.0 alpha 1.
Annoncé hier, c'est un middleware dédié (ContentSecurityPolicyMiddleware) qui ajoute des headers CSP pour bloquer les injections XSS et autres attaques en définissant des sources fiables (scripts, styles, etc.). Tu configures via SECURE_CSP et SECURE_CSP_REPORT_ONLY, avec support des nonces pour les templates. C'est un game-changer pour la sécu sans libs tierces !
Pourquoi c'est utile ? Rend tes apps plus robustes contre les vulnérabilités courantes ; parfait pour des APIs ou sites e-commerce. Python 3.12 est le min requis, donc upgrade si besoin.
Comment tester ? Installe l'alpha via pip install django==6.0a1, active le middleware et teste avec des outils comme CSP Evaluator. Notes de release complètes ici.
Doc : Doc officiel
Une vidéo youtube qui explique d'avantage :
Top comments (0)