Pourriez-vous s’il vous plaît ajouter une Feature-Policy ?
Voici celle que j’utilise depuis plus d’un an. (hôte nginx)
add_header Feature-Policy “geolocation ‘none’; midi ‘none’; notifications ‘self’; push ‘none’; sync-xhr ‘none’; microphone ‘none’; camera ‘none’; magnetometer ‘none’; gyroscope ‘none’; speaker ‘none’; vibrate ‘none’; fullscreen ‘none’; payment ‘none’;”;
Serait-il pertinent d’ajouter ce qui suit à l’en-tête Content-Security-Policy ? C’est ce que j’utilise avec succès (ajouté par l’hôte nginx, en plus du CSP intégré de Discourse) :
default-src 'none'
style-src 'self' domain 'unsafe-inline'
img-src https://*.domain.org data: blob: 'unsafe-inline'
font-src 'self' domain
connect-src 'self' domain
manifest-src 'self' domain