# Limites d'upload relevées pour l'import par lot avec archive de photos (EF-07+).
# Gardé par IfModule : sans effet (jamais d'erreur) si PHP n'est pas chargé comme
# module Apache. En FastCGI/CGI, régler plutôt upload_max_filesize / post_max_size
# dans php.ini (ou un .user.ini). La validation applicative borne le ZIP à 50 Mo.
<IfModule mod_php.c>
    php_value upload_max_filesize 64M
    php_value post_max_size 72M
</IfModule>

# En-têtes de sécurité forcés au niveau serveur. Certains hébergeurs (LiteSpeed
# /Hostinger) écrasent la CSP de l'application par « upgrade-insecure-requests »
# et réajoutent X-Powered-By : on réaffirme donc la CSP forte et on retire la
# divulgation de version ici (SEC-19/20).
<IfModule mod_headers.c>
    Header always set Content-Security-Policy "default-src 'self'; base-uri 'self'; object-src 'none'; frame-ancestors 'none'; form-action 'self'; img-src 'self' data:; font-src 'self' https://fonts.gstatic.com data:; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; script-src 'self' 'unsafe-eval'; connect-src 'self'"
    Header always unset X-Powered-By
    Header unset X-Powered-By
</IfModule>

<IfModule mod_rewrite.c>
    <IfModule mod_negotiation.c>
        Options -MultiViews -Indexes
    </IfModule>

    RewriteEngine On

    # Handle Authorization Header
    RewriteCond %{HTTP:Authorization} .
    RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]

    # Handle X-XSRF-Token Header
    RewriteCond %{HTTP:x-xsrf-token} .
    RewriteRule .* - [E=HTTP_X_XSRF_TOKEN:%{HTTP:X-XSRF-Token}]

    # Redirect Trailing Slashes If Not A Folder...
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteCond %{REQUEST_URI} (.+)/$
    RewriteRule ^ %1 [L,R=301]

    # Send Requests To Front Controller...
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteRule ^ index.php [L]
</IfModule>
