Development #40525: POST pour la déconnexion - Gadjo - Redmine Entr’ouvert

Development #40525

POST pour la déconnexion

Ajouté par Frédéric Péters il y a environ 4 ans. Mis à jour il y a environ 4 ans.

Statut:

En cours

Priorité:

Normal

Assigné à:

Version cible:

Début:

08 mars 2020

Echéance:

% réalisé:

Temps estimé:

Patch proposed:

Oui

Planning:

Non

Description

Discussion en cours sur django-developers pour aboutir à l'utilisation d'un POST pour le lien de déconnexion,

there seems to be consensus that logging the client out on GET requests to the logout view is not great. Clients may try to prefetch links (this came up on IRC today). Attackers might annoy users by logging them out with embedded links to the logout URL.

On peut facilement déjà faire ça côté Gadjo. (pour le front il y aurait des questions de style).

Fichiers

0001-misc-use-POST-for-logout-40525.patch (2,47 ko) 0001-misc-use-POST-for-logout-40525.patch

Frédéric Péters, 08 mars 2020 15:23

Historique

Mis à jour par Frédéric Péters il y a environ 4 ans

Fichier 0001-misc-use-POST-for-logout-40525.patch 0001-misc-use-POST-for-logout-40525.patch ajouté
Statut changé de Nouveau à Solution proposée
Patch proposed changé de Non à Oui

En passant, classe .sr-only pour l'accessibilité (comme dans la proposition #36909) et agrandissement de l'icône lors du survol.

Mis à jour par Frédéric Péters il y a environ 4 ans

(c'est plutôt pénible pour les tests unitaires qui se basaient sur l'idée d'un seul formulaire sur la page, qu'il faut mettre à jour...)

Mis à jour par Benjamin Dauvergne il y a environ 4 ans

Ça couvre le prefetch mais pour couvrir les DoS malicieux il faut quand même un support coté serveur (coté authentic il y a un check du Referer sur la vue de logout et aucun check si ça vient d'un site validé où d'une méthode de logout d'une protocole de SSO).