Projet

Général

Profil

Bug #13625

également mettre un xframe_options_exempt sur l'url de login

Ajouté par Frédéric Péters il y a plus de 7 ans. Mis à jour il y a plus de 6 ans.

Statut:
Fermé
Priorité:
Bas
Assigné à:
Benjamin Dauvergne
Version cible:
-
Début:
17 octobre 2016
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:

Description

Si on accède directement à une page du portail agent affichant des stats bijoe, sans être connecté à bijoe, l'iframe va taper sur une URL qui va envoyer sur un /login, qui va avoir un X-Frame-Options: SAMEORIGIN et du coup la dance du SSO ne va pas se faire et le graphe n'apparaitra pas. (Un rien plus tard, le chargement des menu.json aura eu lieu et ça aura créé une session et ce sera ok.)

Fichiers

0001-use-mellon_no_passive-flag-on-iframe-views-fixes-132.patch (1005 octets) 0001-use-mellon_no_passive-flag-on-iframe-views-fixes-132.patch Benjamin Dauvergne, 18 octobre 2016 10:06

Demandes liées

Lié à django-mellon - Development #13627: Permettre à une vue de débrayer le "passive" loginFermé17 octobre 2016

Actions

Historique

#1

Mis à jour par Benjamin Dauvergne il y a plus de 7 ans

Bizarre les URLs d'iframe ne devraient pas demander d'authentification, l'authentification est dans une signature dans l'URL, si ça renvoie vers /login c'est qu'il y a un souci. Je veux bien l'URL de l'IFRAME qui pose souci.

#2

Mis à jour par Frédéric Péters il y a plus de 7 ans 

GET https://stats-nancy.test.entrouvert.org/visualization/2/iframe/?signature=dfaef608343df5bed0429feba997cab6874a244c
→ 302, Location:https://stats-nancy.test.entrouvert.org/accounts/mellon/login/?passive=&next=https%3A%2F%2Fstats-nancy.test.entrouvert.org%2Fvisualization%2F2%2Fiframe%2F%3Fsignature%3Ddfaef608343df5bed0429feba997cab6874a244c
#4

Mis à jour par Benjamin Dauvergne il y a plus de 7 ans

C'est du aux cookies A2_OPENED_SESSION et à l'absence de MELLON_PASSIVE_TRIED, ça force une authentification alors qu'elle n'est pas nécessaire dans ce cas là; je pense qu'il va falloir une annotation sur la vue pour indiquer à mellon qu'on ne souhaite pas que le middleware applique ce comportement dans ce cas.

#5

Mis à jour par Benjamin Dauvergne il y a plus de 7 ans

  • Lié à Development #13627: Permettre à une vue de débrayer le "passive" login ajouté
#6

Mis à jour par Benjamin Dauvergne il y a plus de 7 ans

#7

Mis à jour par Frédéric Péters il y a plus de 6 ans

  • Statut changé de Nouveau à Fermé

Ça a été poussé il y a longtemps déjà.

commit ba950e17029b965c3c2f81487a45f2e2fd8eb7f4
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Tue Oct 18 10:05:19 2016 +0200

    use mellon_no_passive flag on iframe views (fixes #13265)

    Without it and if A2_OPENED_COOKIE is present at not MELLON_PASSIVE_TRIED, the
    signature of the iframe URL is simply ignored and redirect to the login page
    occur.

Formats disponibles : Atom PDF