Seguretat per defecte
tabi té una Política de Seguretat de Contingut (CSP) fàcilment personalitzable amb valors segurs per defecte. Obtingues tranquil·litat i un A+ en l'Observatori de Mozilla. La configuració per defecte del tema obté una puntuació A+ a l’Observatori de Mozilla.1 Això s’aconsegueix configurant programàticament les capçaleres de la Política de Seguretat de Contingut (CSP) basant-se en una llista de dominis permesos definida per l’usuari en el fitxer La llista Aquesta funcionalitat permet personalitzar fàcilment les capçaleres de seguretat del lloc web per permetre casos d’ús específics, com ara inserir vídeos de YouTube, carregar scripts o tipografies remotes (no recomanat). Pots desactivar les capçaleres (permitint-ho tot) en una pàgina, secció, o globalment configurant Notas: Habilitar els comentaris, les analítiques, o els diagrames de mermaid permet automàticament els scripts/frames/estils/conexions pertinents. Per utilitzar un tema de resaltat de sintaxis integrat a Zola, has de permetre config.toml
. Aquí tens la configuració per defecte i recomanada (pots eliminar l’última directiva si no vols inserir vídeos de YouTube):[]
= [
{ = "font-src", = ["'self'", "data:"] },
{ = "img-src", = ["'self'", "https://*", "data:"] },
{ = "script-src", = ["'self'"] },
{ = "style-src", = ["'self'"] },
{ = "frame-src", = ["https://www.youtube-nocookie.com"] },
]
allowed_domains
especifica les URLs a les quals el lloc web hauria de poder connectar-se, i cada domini de la llista està associat amb una directiva CSP com frame-src
, connect-src
o script-src
. El fitxer templates/partials/header.html
genera dinàmicament la capçalera CSP basant-se en aquesta llista.enable_csp = false
en el front matter o en el fitxer config.toml
.unsafe-inline
a la directiva style-src
:{ directive = "style-src", domains = ["'self'", "'unsafe-inline'"] },