config/packages/nelmio_security.yaml

nelmio_security:
    # Content Security Policy (CSP)
    referrer_policy:
        enabled: true
        policies:
            - 'strict-origin-when-cross-origin'
    content_type:
        nosniff: true
    clickjacking:
        paths:
            '^/.*': DENY
    permissions_policy:
        enabled: true
        policies:
            camera: [self]         # Correct : sans les guillemets simples internes
            microphone: [self]     # Correct
            geolocation: [self]    # Correct
            fullscreen: [self]     # Correct
            payment: [self]        # Correct
            # Si tu veux bloquer une fonction pour tout le monde :
            usb: []
    csp:
        hash:
            algorithm: 'sha256'
        enforce:
            default-src: ["'self'"]
            object-src: ["'none'"]
            base-uri: ["'self'"]
            worker-src: ["'self'"]
            script-src:
                - "'self'"
                - "nonce"
                - "'strict-dynamic'"
                - "https://sentry.esy-web.dev"
                - "https://chat.esy-web.dev"
                - "https://auth.esy-web.dev"
                - "https://static.cloudflareinsights.com"
                - "https://challenges.cloudflare.com"
            connect-src:
                - "'self'"
                - "https://sentry.esy-web.dev"
                - "https://chat.esy-web.dev"
                - "https://auth.esy-web.dev"
                - "https://cloudflareinsights.com"
                - "https://challenges.cloudflare.com"
                - "https://tools-security.esy-web.dev"
                - "https://checkout.stripe.com/"
            frame-src:
                - "'self'"
                - "https://chat.esy-web.dev"
                - "https://auth.esy-web.dev"
                - "https://challenges.cloudflare.com"
            style-src:
                - "'self'"
                - "'unsafe-inline'"
                - "https://chat.esy-web.dev"
            img-src:
                - "'self'"
                - "data:"
                - "https://chat.esy-web.dev"
            font-src:
                - "'self'"
                - "data:"
            frame-ancestors: ["'none'"]
            # Optionnel : forcer le passage en HTTPS
            upgrade-insecure-requests: true
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`nelmio_security:`
			`# Content Security Policy (CSP)`
✨ feat(sécurité): Améliore la configuration CSP et Permissions-Policy pour plus de contrôle. 2026-01-15 20:38:30 +01:00			`referrer_policy:`
			`enabled: true`
			`policies:`
			`- 'strict-origin-when-cross-origin'`
``` ✨ feat(ReserverController): Ajoute vérification de disponibilité produit. 🛠️ refactor(BackupCommand): Utilise DatabaseDumper et ZipArchiver. ✨ feat(GitSyncLogCommand): Utilise Gemini pour messages plus clairs. ✨ feat(GenerateVideoThumbsCommand): Utilise VideoThumbnailer service. ✨ feat(AppWarmupImagesCommand): Utilise StorageInterface pour warmup. 🔒️ security(nelmio_security): Renforce la sécurité avec des en-têtes. 🔧 chore(caddy): Améliore la configuration de Caddy pour la performance. 🐛 fix(makefile): Corrige les commandes de test. 🧪 chore(.env.test): Supprime la ligne vide à la fin du fichier. 🔧 chore(doctrine): Active native_lazy_objects. 🔧 chore(cache): Ajoute un cache system. ``` 2026-01-30 17:58:12 +01:00			`content_type:`
			`nosniff: true`
			`clickjacking:`
			`paths:`
			`'^/.*': DENY`
✨ feat(sécurité): Améliore la configuration CSP et Permissions-Policy pour plus de contrôle. 2026-01-15 20:38:30 +01:00			`permissions_policy:`
			`enabled: true`
			`policies:`
			`camera: [self] # Correct : sans les guillemets simples internes`
			`microphone: [self] # Correct`
			`geolocation: [self] # Correct`
			`fullscreen: [self] # Correct`
			`payment: [self] # Correct`
			`# Si tu veux bloquer une fonction pour tout le monde :`
			`usb: []`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`csp:`
``` ✨ chore(crm): Supprime les fichiers manifest et favicon obsolètes, ajoute PWA. ``` 2026-01-16 09:23:23 +01:00			`hash:`
			`algorithm: 'sha256'`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`enforce:`
			`default-src: ["'self'"]`
``` ✨ feat(ReserverController): Ajoute vérification de disponibilité produit. 🛠️ refactor(BackupCommand): Utilise DatabaseDumper et ZipArchiver. ✨ feat(GitSyncLogCommand): Utilise Gemini pour messages plus clairs. ✨ feat(GenerateVideoThumbsCommand): Utilise VideoThumbnailer service. ✨ feat(AppWarmupImagesCommand): Utilise StorageInterface pour warmup. 🔒️ security(nelmio_security): Renforce la sécurité avec des en-têtes. 🔧 chore(caddy): Améliore la configuration de Caddy pour la performance. 🐛 fix(makefile): Corrige les commandes de test. 🧪 chore(.env.test): Supprime la ligne vide à la fin du fichier. 🔧 chore(doctrine): Active native_lazy_objects. 🔧 chore(cache): Ajoute un cache system. ``` 2026-01-30 17:58:12 +01:00			`object-src: ["'none'"]`
			`base-uri: ["'self'"]`
``` ✨ chore(crm): Supprime les fichiers manifest et favicon obsolètes, ajoute PWA. ``` 2026-01-16 09:23:23 +01:00			`worker-src: ["'self'"]`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`script-src:`
			`- "'self'"`
			`- "nonce"`
``` ✨ chore(crm): Supprime les fichiers manifest et favicon obsolètes, ajoute PWA. ``` 2026-01-16 09:23:23 +01:00			`- "'strict-dynamic'"`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`- "https://sentry.esy-web.dev"`
			`- "https://chat.esy-web.dev"`
			`- "https://auth.esy-web.dev"`
			`- "https://static.cloudflareinsights.com"`
✨ feat(sécurité): Améliore la configuration CSP et Permissions-Policy pour plus de contrôle. 2026-01-15 20:38:30 +01:00			`- "https://challenges.cloudflare.com"`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`connect-src:`
			`- "'self'"`
			`- "https://sentry.esy-web.dev"`
			`- "https://chat.esy-web.dev"`
			`- "https://auth.esy-web.dev"`
			`- "https://cloudflareinsights.com"`
✨ feat(sécurité): Améliore la configuration CSP et Permissions-Policy pour plus de contrôle. 2026-01-15 20:38:30 +01:00			`- "https://challenges.cloudflare.com"`
``` ✨ feat(Product): Ajoute méthode json pour sérialiser les données du produit. ✨ feat(analytics): Intègre suivi Umami pour catalogue, contact et produits. ✨ feat(caddy): Ajoute header Cloudflare et script UTM, améliore config PHP. ✨ feat(nelmio): Autorise tools-security.esy-web.dev dans CSP. ✨ feat(template): Ajoute suivi Umami sur pages catalogue, contact et produit. ``` 2026-01-21 13:37:26 +01:00			`- "https://tools-security.esy-web.dev"`
``` ✨ feat(reservation/contrat): Ajoute lieu, identité et sections finances. Ajoute lieu de l'événement, section identité, tableau des options, et section finances avec gestion de l'acompte et du solde. ``` 2026-01-22 21:16:29 +01:00			`- "https://checkout.stripe.com/"`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`frame-src:`
			`- "'self'"`
			`- "https://chat.esy-web.dev"`
			`- "https://auth.esy-web.dev"`
✨ feat(sécurité): Améliore la configuration CSP et Permissions-Policy pour plus de contrôle. 2026-01-15 20:38:30 +01:00			`- "https://challenges.cloudflare.com"`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`style-src:`
			`- "'self'"`
			`- "'unsafe-inline'"`
			`- "https://chat.esy-web.dev"`
			`img-src:`
			`- "'self'"`
			`- "data:"`
			`- "https://chat.esy-web.dev"`
			`font-src:`
			`- "'self'"`
			`- "data:"`
			`frame-ancestors: ["'none'"]`
			`# Optionnel : forcer le passage en HTTPS`
``` ✨ feat(ReserverController): Ajoute vérification de disponibilité produit. 🛠️ refactor(BackupCommand): Utilise DatabaseDumper et ZipArchiver. ✨ feat(GitSyncLogCommand): Utilise Gemini pour messages plus clairs. ✨ feat(GenerateVideoThumbsCommand): Utilise VideoThumbnailer service. ✨ feat(AppWarmupImagesCommand): Utilise StorageInterface pour warmup. 🔒️ security(nelmio_security): Renforce la sécurité avec des en-têtes. 🔧 chore(caddy): Améliore la configuration de Caddy pour la performance. 🐛 fix(makefile): Corrige les commandes de test. 🧪 chore(.env.test): Supprime la ligne vide à la fin du fichier. 🔧 chore(doctrine): Active native_lazy_objects. 🔧 chore(cache): Ajoute un cache system. ``` 2026-01-30 17:58:12 +01:00			`upgrade-insecure-requests: true`
``` ✨ chore(crm): Supprime les fichiers manifest et favicon obsolètes, ajoute PWA. ``` 2026-01-16 09:23:23 +01:00