Pourquoi ma CSP fonctionne dans Chrome mais casse Safari ?

WebKit applique la CSP différemment sur certains motifs : gestionnaires inline, URLs javascript:, workers, iframes. Les libellés de la console diffèrent de Chromium. Il faut valider sur une session Safari réelle, pas seulement sur les outils de développement Chrome.

strict-dynamic ignore-t-il ma liste de domaines dans script-src ?

Avec CSP Level 3, lorsque strict-dynamic est présent, les hôtes purement listés dans script-src ne suffisent plus pour les scripts chargés dynamiquement par du code déjà autorisé : la chaîne de confiance repose sur le nonce (ou le hash) du script racine. Concevez un bootstrap qui porte le nonce et charge le graphe.

Puis-je réutiliser le même nonce sur toutes les réponses ?

Non. Le nonce doit être imprévisible et renouvelé à chaque réponse HTML. Générez-le au bord (CDN, fonction edge, middleware SSR), injectez-le dans l’en-tête Content-Security-Policy et sur les balises script et style concernées ; évitez de mettre en cache une page HTML avec un nonce périmé.

Le meta CSP équivalent-t-il à l’en-tête HTTP ?

Une politique dans une balise meta peut aider en phase de test, mais les en-têtes de réponse sont la norme en production : meilleure intégration avec le middleware, report-uri/report-to, et pas de risque d’être contourné par des fragments chargés avant la meta. Harmonisez les deux si vous devez coexister pendant une migration.

CSP · Sécurité web · Mac distant · 2026

2026 Pièges front-end Mac distant :
CSP, nonce, strict-dynamic et messages Safari — tableau, en-têtes et porte en trois étapes

08.04.2026 Développement web / sécurité 8 min de lecture

Public : équipes web qui durcissent le front avec Content-Security-Policy, nonces ou hashs SHA-256 et constatent des cassures visibles seulement sous Safari. Vous obtiendrez les écarts WebKit face à Chromium, un tableau nonce/hash, le déploiement de strict-dynamic, un flux de validation Safari à distance, une FAQ sur les refus courants, un exemple d’en-tête exécutable et une checklist d’acceptation. Pour enchaîner avec le build et la recette navigateur : déploiement Vite/Webpack + vérification Safari ; pour l’automatisation WebKit : Playwright WebKit sur Mac distant.

01 Fondamentaux CSP et écarts Safari

Retirer 'unsafe-inline' de script-src impose qu’chaque script inline soit autorisé par un nonce identique dans l’en-tête et la balise, ou par un hash calculé sur les octets exacts du script. C’est le socle des politiques modernes : moins de XSS par injection arbitraire, plus de discipline sur les bundles et les tags managers.

Safari (WebKit) n’affiche pas les violations avec les mêmes formulations que Chromium ; il est souvent plus strict sur les gestionnaires d’événements inline, les URL javascript:, certains workers et les iframes croisées. Une QA « Chrome uniquement » laisse passer des échecs réels chez les utilisateurs Apple. Sur un Mac distant, vous reproduisez le même train de version que vos clients : indispensable dès que la CSP devient une condition de mise en ligne.

Injection dynamique : les scripts ajoutés après coup par des SDK ou des A/B tests doivent hériter du nonce côté serveur ou passer par des hashs figés que vous contrôlez.
Iframes et paiements : une frame-src trop courte bloque l’embed 3-D Secure ou l’OAuth sans message UI explicite — vérifiez les origines des partenaires.
Cache HTML : une page servie depuis un CDN avec un ancien nonce provoque des refus aléatoires ; les clés de cache doivent inclure le nonce ou invalider à chaque déploiement.

Appliquez la même rigueur à style-src : styles inline, attributs style="" et certains widgets tiers exigent nonce ou hash. Prévoyez une fenêtre de migration Content-Security-Policy-Report-Only pour mesurer l’impact avant le passage en enforce.

02 Tableau de configuration nonce / hash

Les nonces conviennent au HTML généré par requête (SSR, edge, template moteur). Les hashs conviennent aux petits blocs inline stables (bootstrap minimal, JSON-LD statique) dont le contenu change rarement. Le tableau suivant résume les compromis opérationnels et ce qu’il faut surveiller sous Safari.

Sujet	Nonce	Hash SHA-256
Schéma d’en-tête	`script-src 'nonce-<aléatoire>' …` ; même valeur sur `<script nonce="…">`.	`script-src 'sha256-<base64>'` ; les octets du script inline doivent correspondre exactement.
Cas d’usage	Frameworks SSR, coques HTML par requête, chaînes `strict-dynamic`.	Snippets figés, métadonnées structurées inline contrôlées par le build.
Risque ops	Oubli de rotation middleware, HTML mis en cache avec nonce périmé.	Chaque changement de formatage (minify, saut de ligne) invalide le hash.
Note Safari	Vérifier que chaque chunk loader et script d’hydratation reçoit le nonce depuis la coque serveur.	Recalculer le hash après toute modification invisible (espaces, encodage).

Exemple d’en-tête exécutable (pseudo Express)

Par requête : générer un nonce cryptographiquement fort, le stocker (ex. res.locals.cspNonce), l’injecter dans la politique et dans les balises rendues :

const n = res.locals.cspNonce;
res.setHeader('Content-Security-Policy', [
  "default-src 'self'",
  `script-src 'nonce-${n}' 'strict-dynamic' https:`,
  `style-src 'self' 'nonce-${n}'`,
  "object-src 'none'",
  "base-uri 'none'",
  "frame-ancestors 'none'"
].join('; '));

Retirez https: une fois le bootstrap nonce entièrement maître des chargements. Pour le débogage réseau et console : FAQ Web Inspector Safari à distance.

03 Étapes pour déployer strict-dynamic

La directive 'strict-dynamic' (CSP3) permet aux scripts déjà jugés de confiance (via nonce ou hash) de charger des descendants sans dépendre d’une longue liste d’hôtes dans script-src. En contrepartie, les scripts insérés « à froid » par le parseur HTML sans nonce ne bénéficient plus des simples autorisations par domaine pour se chaîner : la conception du premier script de confiance devient centrale.

Script racine : le premier <script> synchrone de confiance porte le nonce et amorce le graphe (runtime, module federation, etc.).
Chunks paresseux : ils ne sont chargés que par du code déjà autorisé — pas de balises tierces « nues » sans nonce ni hash.
Réduction des hôtes : raccourcissez les listes script-src quand la chaîne nonce couvre le besoin ; gardez connect-src aligné sur vos API réelles.
Report-Only d’abord : dupliquez la politique avec les mêmes nonces sous Content-Security-Policy-Report-Only, analysez les rapports, puis basculez en enforce.
Workers et SW : vérifiez que service workers et new Worker() respectent vos règles statiques ou nonces selon le modèle choisi.

04 Flux de validation Safari / WebKit à distance

Un Mac loué avec Safari production permet de valider TLS, extensions désactivables, et builds WebKit alignés sur vos utilisateurs. Ouvrez la préproduction en HTTPS, activez le menu Développement, attachez Web Inspector : la console et l’onglet Réseau marquent les ressources refusées par la CSP (souvent blocked:csp ou formulations proches).

Enchaînez avec une passe Playwright webkit sur la même machine pour la régression de volume, mais conservez une signature manuelle pour les parcours paiement, SSO et uploads — là où les iframes et connect-src explosent en silence.

Fenêtre privée : limite l’effet des extensions qui modifient le DOM ou injectent des scripts.
Console + Réseau : corrélez chaque refus avec la directive et l’URL exacte.
Versions : notez macOS, Safari et, si pertinent, iOS Simulator pour les équipes mobile web.

Signal console Safari (résumé)	Directive probable	Piste de correction
Refus d’exécution : nonce, hash ou `'unsafe-inline'` manquant	`script-src`	Aligner en-tête et balises ; invalider le cache HTML si nonce périmé.
Refus de chargement : viole la directive CSP	`connect-src` / `frame-src` / `img-src`	Ajouter origines API, iframes de paiement ou CDN d’images autorisés.
Style inline interdit par la CSP	`style-src`	Externaliser le CSS, ou nonce/hash de style issu du même middleware que les scripts.

05 FAQ sur les blocages fréquents

Chrome OK, Safari KO ? WebKit est souvent plus strict sur les motifs inline et les workers ; la validation doit inclure Safari réel sur le Mac distant, pas seulement Chromium.
strict-dynamic vs liste d’hôtes ? Les chargements déclenchés par du script de confiance ne s’appuient plus sur la seule liste de domaines ; concentrez-vous sur le nonce du bootstrap et la propreté du graphe.
Même nonce partout ? Interdit en production : un nonce par réponse, non réutilisable entre utilisateurs ou entre pages cachées.
Rapports CSP bruyants ? Filtrez par directive et par URL avant d’assouplir la politique ; un assouplissement permanent masque souvent une régression de build.

06 Checklist d’acceptation avant publication (trois étapes)

Sur le Mac distant, avec la même politique qu’en production : (1) parité stricte des en-têtes entre préprod et prod sur toutes les routes critiques ; (2) console sans erreur CSP non résolue sur connexion, tableau de bord, tunnel d’achat et pages d’erreur ; (3) ticket de release avec version Safari/OS et captures ou HAR. Évitez le cache HTML long sans clé de nonce ; sous strict-dynamic, le premier script de confiance doit être audité comme n’importe quelle dépendance critique.

Étape 1 — Parité politique : octets identiques (ou équivalence documentée) pour Content-Security-Policy, y compris report-to / report-uri si activés.
Étape 2 — Console propre : aucun blocked:csp résiduel sur les parcours métier et les pages légales chargées en footer.
Étape 3 — Preuves : chaînes de version WebKit + artefacts joints au système de suivi pour les prochaines montées de dépendances.

Louez un nœud Mac Mini pour reproduire fidèlement Safari et automatiser WebKit sans sacrifier la signature à la main.

Validation CSP Safari

Louez un Mac distant pour un visa CSP réel sur Safari

Reproduisez la politique de production sur un Mac Mini loué, collectez les violations WebKit et bouclez la porte en trois étapes. Consultez les tarifs et le centre d’aide sans créer de compte — puis validez nonces et strict-dynamic dans Safari utilisateur.

Nonces CSP WebKit Apple Silicon

Voir les tarifs Centre d’aide Accueil

2026 Pièges front-end Mac distant : CSP, nonce, strict-dynamic et messages Safari — tableau, en-têtes et porte en trois étapes