config/packages/nelmio_security.yaml

nelmio_security:
    # Content Security Policy (CSP)
    referrer_policy:
        enabled: true
        policies:
            - 'strict-origin-when-cross-origin'
    permissions_policy:
        enabled: true
        policies:
            camera: [self]         # Correct : sans les guillemets simples internes
            microphone: [self]     # Correct
            geolocation: [self]    # Correct
            fullscreen: [self]     # Correct
            payment: [self]        # Correct
            # Si tu veux bloquer une fonction pour tout le monde :
            usb: []
    csp:
        hash:
            algorithm: 'sha256'
        enforce:
            default-src: ["'self'"]
            worker-src: ["'self'"]
            script-src:
                - "'self'"
                - "nonce"
                - "'strict-dynamic'"
                - "https://sentry.esy-web.dev"
                - "https://chat.esy-web.dev"
                - "https://auth.esy-web.dev"
                - "https://static.cloudflareinsights.com"
                - "https://challenges.cloudflare.com"
            connect-src:
                - "'self'"
                - "https://sentry.esy-web.dev"
                - "https://chat.esy-web.dev"
                - "https://auth.esy-web.dev"
                - "https://cloudflareinsights.com"
                - "https://challenges.cloudflare.com"
            frame-src:
                - "'self'"
                - "https://chat.esy-web.dev"
                - "https://auth.esy-web.dev"
                - "https://challenges.cloudflare.com"
            style-src:
                - "'self'"
                - "'unsafe-inline'"
                - "https://chat.esy-web.dev"
            img-src:
                - "'self'"
                - "data:"
                - "https://chat.esy-web.dev"
            font-src:
                - "'self'"
                - "data:"
            frame-ancestors: ["'none'"]
            # Optionnel : forcer le passage en HTTPS
            upgrade-insecure-requests: false
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`nelmio_security:`
			`# Content Security Policy (CSP)`
✨ feat(sécurité): Améliore la configuration CSP et Permissions-Policy pour plus de contrôle. 2026-01-15 20:38:30 +01:00			`referrer_policy:`
			`enabled: true`
			`policies:`
			`- 'strict-origin-when-cross-origin'`
			`permissions_policy:`
			`enabled: true`
			`policies:`
			`camera: [self] # Correct : sans les guillemets simples internes`
			`microphone: [self] # Correct`
			`geolocation: [self] # Correct`
			`fullscreen: [self] # Correct`
			`payment: [self] # Correct`
			`# Si tu veux bloquer une fonction pour tout le monde :`
			`usb: []`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`csp:`
``` ✨ chore(crm): Supprime les fichiers manifest et favicon obsolètes, ajoute PWA. ``` 2026-01-16 09:23:23 +01:00			`hash:`
			`algorithm: 'sha256'`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`enforce:`
			`default-src: ["'self'"]`
``` ✨ chore(crm): Supprime les fichiers manifest et favicon obsolètes, ajoute PWA. ``` 2026-01-16 09:23:23 +01:00			`worker-src: ["'self'"]`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`script-src:`
			`- "'self'"`
			`- "nonce"`
``` ✨ chore(crm): Supprime les fichiers manifest et favicon obsolètes, ajoute PWA. ``` 2026-01-16 09:23:23 +01:00			`- "'strict-dynamic'"`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`- "https://sentry.esy-web.dev"`
			`- "https://chat.esy-web.dev"`
			`- "https://auth.esy-web.dev"`
			`- "https://static.cloudflareinsights.com"`
✨ feat(sécurité): Améliore la configuration CSP et Permissions-Policy pour plus de contrôle. 2026-01-15 20:38:30 +01:00			`- "https://challenges.cloudflare.com"`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`connect-src:`
			`- "'self'"`
			`- "https://sentry.esy-web.dev"`
			`- "https://chat.esy-web.dev"`
			`- "https://auth.esy-web.dev"`
			`- "https://cloudflareinsights.com"`
✨ feat(sécurité): Améliore la configuration CSP et Permissions-Policy pour plus de contrôle. 2026-01-15 20:38:30 +01:00			`- "https://challenges.cloudflare.com"`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`frame-src:`
			`- "'self'"`
			`- "https://chat.esy-web.dev"`
			`- "https://auth.esy-web.dev"`
✨ feat(sécurité): Améliore la configuration CSP et Permissions-Policy pour plus de contrôle. 2026-01-15 20:38:30 +01:00			`- "https://challenges.cloudflare.com"`
``` ✨ feat(ansible/caddy): Supprime CSP statique et Permissions-Policy obsolète 🐛 fix(assets/admin): Corrige la gestion du menu admin et des flashs ✨ feat(Twig/ViteAssetExtension): Ajoute CSP nonce et gère les favicons 🐛 fix(Entity/AuditLog): Corrige la relation ManyToOne avec Account ➕ feat: Ajoute NelmioSecurityBundle pour gérer la sécurité CSP ``` 2026-01-15 20:35:46 +01:00			`style-src:`
			`- "'self'"`
			`- "'unsafe-inline'"`
			`- "https://chat.esy-web.dev"`
			`img-src:`
			`- "'self'"`
			`- "data:"`
			`- "https://chat.esy-web.dev"`
			`font-src:`
			`- "'self'"`
			`- "data:"`
			`frame-ancestors: ["'none'"]`
			`# Optionnel : forcer le passage en HTTPS`
			`upgrade-insecure-requests: false`
``` ✨ chore(crm): Supprime les fichiers manifest et favicon obsolètes, ajoute PWA. ``` 2026-01-16 09:23:23 +01:00