Projet

Général

Profil

Development #34781

ignorer/distinguer les appels ajax dans PassiveAuthenticationMiddleware

Ajouté par Frédéric Péters il y a presque 5 ans. Mis à jour il y a presque 5 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Benjamin Dauvergne
Version cible:
-
Début:
12 juillet 2019
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:
Non

Description

Régulièrement (#30488, #32395, #34780) on a des appels depuis le navigateur et ils sont attrapés par le middleware et ça s'enregistre dans MELLON_PASSIVE_TRIED et quand l'usager visite ensuite pour de vrai le site, l'authent n'est pas jouée.

On peut continuer à ajouter des .mellon_no_passive aux vues mais on peut sans doute faire quelque chose de fond dans django-mellon.

Fichiers

0001-middleware-prevent-passive-authentication-on-ajax-re.patch (861 octets) 0001-middleware-prevent-passive-authentication-on-ajax-re.patch Benjamin Dauvergne, 12 juillet 2019 12:13
0001-middleware-prevent-passive-authentication-on-ajax-re.patch (839 octets) 0001-middleware-prevent-passive-authentication-on-ajax-re.patch Benjamin Dauvergne, 12 juillet 2019 13:42

Révisions associées

Révision 80074ea2 (diff)
Ajouté par Benjamin Dauvergne il y a presque 5 ans

middleware: prevent passive authentication on ajax requests (#34781)

Historique

#1

Mis à jour par Benjamin Dauvergne il y a presque 5 ans

  • Assigné à mis à Benjamin Dauvergne
#2

Mis à jour par Benjamin Dauvergne il y a presque 5 ans

Ça ne marche qu'avec jQuery&co, je pense qu'un appel Ajax natif ne pose pas forcément cet entête.

#3

Mis à jour par Frédéric Péters il y a presque 5 ans

Il existe is_ajax dans HttpRequest de Django,

     def is_ajax(self):
        return self.META.get('HTTP_X_REQUESTED_WITH') == 'XMLHttpRequest'
#4

Mis à jour par Benjamin Dauvergne il y a presque 5 ans

Ok, je n'étais pas certains que toutes les libs JS fassent la même chose.

#5

Mis à jour par Frédéric Péters il y a presque 5 ans

  • Statut changé de Solution proposée à Solution validée
#6

Mis à jour par Benjamin Dauvergne il y a presque 5 ans

  • Statut changé de Solution validée à Résolu (à déployer)
commit 80074ea20120598ad15ff2e1f4c8faacc88fef21
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Fri Jul 12 12:12:15 2019 +0200

    middleware: prevent passive authentication on ajax requests (#34781)
#7

Mis à jour par Frédéric Péters il y a presque 5 ans

  • Statut changé de Résolu (à déployer) à Solution déployée

Formats disponibles : Atom PDF