Bug #13625
également mettre un xframe_options_exempt sur l'url de login
0%
Description
Si on accède directement à une page du portail agent affichant des stats bijoe, sans être connecté à bijoe, l'iframe va taper sur une URL qui va envoyer sur un /login, qui va avoir un X-Frame-Options: SAMEORIGIN et du coup la dance du SSO ne va pas se faire et le graphe n'apparaitra pas. (Un rien plus tard, le chargement des menu.json aura eu lieu et ça aura créé une session et ce sera ok.)
Fichiers
Demandes liées
Historique
Mis à jour par Benjamin Dauvergne il y a plus de 7 ans
Bizarre les URLs d'iframe ne devraient pas demander d'authentification, l'authentification est dans une signature dans l'URL, si ça renvoie vers /login c'est qu'il y a un souci. Je veux bien l'URL de l'IFRAME qui pose souci.
Mis à jour par Frédéric Péters il y a plus de 7 ans
GET https://stats-nancy.test.entrouvert.org/visualization/2/iframe/?signature=dfaef608343df5bed0429feba997cab6874a244c → 302, Location:https://stats-nancy.test.entrouvert.org/accounts/mellon/login/?passive=&next=https%3A%2F%2Fstats-nancy.test.entrouvert.org%2Fvisualization%2F2%2Fiframe%2F%3Fsignature%3Ddfaef608343df5bed0429feba997cab6874a244c
Mis à jour par Frédéric Péters il y a plus de 7 ans
pour reproduire, visiter https://agents-nancy.test.entrouvert.org/statistiques/
Mis à jour par Benjamin Dauvergne il y a plus de 7 ans
C'est du aux cookies A2_OPENED_SESSION et à l'absence de MELLON_PASSIVE_TRIED, ça force une authentification alors qu'elle n'est pas nécessaire dans ce cas là; je pense qu'il va falloir une annotation sur la vue pour indiquer à mellon qu'on ne souhaite pas que le middleware applique ce comportement dans ce cas.
Mis à jour par Benjamin Dauvergne il y a plus de 7 ans
- Lié à Development #13627: Permettre à une vue de débrayer le "passive" login ajouté
Mis à jour par Benjamin Dauvergne il y a plus de 7 ans
- Fichier 0001-use-mellon_no_passive-flag-on-iframe-views-fixes-132.patch 0001-use-mellon_no_passive-flag-on-iframe-views-fixes-132.patch ajouté
- Assigné à mis à Benjamin Dauvergne
- Patch proposed changé de Non à Oui
Mis à jour par Frédéric Péters il y a plus de 6 ans
- Statut changé de Nouveau à Fermé
Ça a été poussé il y a longtemps déjà.
commit ba950e17029b965c3c2f81487a45f2e2fd8eb7f4 Author: Benjamin Dauvergne <bdauvergne@entrouvert.com> Date: Tue Oct 18 10:05:19 2016 +0200 use mellon_no_passive flag on iframe views (fixes #13265) Without it and if A2_OPENED_COOKIE is present at not MELLON_PASSIVE_TRIED, the signature of the iframe URL is simply ignored and redirect to the login page occur.