nelmio_security:
    csp:
        enforce:
            script-src:
                - 'self'
                - 'nonce'
                - 'https://static.cloudflareinsights.com'
                - 'https://challenges.cloudflare.com'
                - 'https://js.stripe.com'

            # Restreindre les soumissions de formulaires à notre domaine
            # et aux redirections OAuth des plateformes de partage social
            form-action:
                - 'self'
                - 'https://www.facebook.com'
                - 'https://x.com'
                - 'https://twitter.com'

            # Autoriser navigator.share() (Web Share API) et clipboard API
            # Stripe Elements necessite connect-src vers api.stripe.com
            connect-src:
                - 'self'
                - 'https://api.stripe.com'

            # Stripe Elements charge ses iframes depuis js.stripe.com
            frame-src:
                - 'self'
                - 'https://js.stripe.com'
                - 'https://hooks.stripe.com'