Development #44435
ajouter django.middleware.clickjacking.XFrameOptionsMiddleware
0%
Description
Comme ailleurs.
Fichiers
Révisions associées
Historique
Mis à jour par Benjamin Dauvergne il y a presque 4 ans
- Fichier 0001-settings-add-XFrameOptionsMiddleware-44435.patch 0001-settings-add-XFrameOptionsMiddleware-44435.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Mis à jour par Paul Marillonnet il y a presque 4 ans
- Statut changé de Solution proposée à Solution validée
Okay.
Mis à jour par Frédéric Péters il y a presque 4 ans
Mis à jour par Paul Marillonnet il y a presque 4 ans
- Statut changé de Solution validée à Solution proposée
Et donc décorer (xframe_options_exempt
) la vue de login ?
Mis à jour par Benjamin Dauvergne il y a presque 4 ans
- Fichier 0001-mics-apply-xframe_options_deny-to-views-44435.patch 0001-mics-apply-xframe_options_deny-to-views-44435.patch ajouté
Nouvelle idée, /idp/saml2/login sera exempté donc si on est déjà connecté on doit pouvoir ouvrir fargo dans une iframe.
Mis à jour par Paul Marillonnet il y a presque 4 ans
Benjamin Dauvergne a écrit :
Nouvelle idée, /idp/saml2/login sera exempté donc si on est déjà connecté on doit pouvoir ouvrir fargo dans une iframe.
N'arrivant pas à reproduire le blocage décrit par Frédéric je ne suis pas en mesure de valider, mais je note tout de même que dans ce nouveau patch on passe de sameorigin
à deny
pour la valeur de l'entête X-Frame-Options
(ce qui est peut-être volontaire, mais si ce n'est pas le cas, c'est le décorateur xframe_options_sameorigin
qu'il faut utiliser).
Mis à jour par Benjamin Dauvergne il y a presque 4 ans
Paul Marillonnet a écrit :
N'arrivant pas à reproduire le blocage décrit par Frédéric je ne suis pas en mesure de valider,
Je vais tenter de mon coté alors.
mais je note tout de même que dans ce nouveau patch on passe de
sameorigin
àdeny
pour la valeur de l'entêteX-Frame-Options
(ce qui est peut-être volontaire, mais si ce n'est pas le cas, c'est le décorateurxframe_options_sameorigin
qu'il faut utiliser).
C'est volontaire, je n'avais pas réfléchi à deny ou sameorigin dans le premier patch, je faisais juste comme dans combo pour répondre à la demande de l'audit de sécu du CD13. Dans le deuxième patch je me suis dit autant faire le plus, ces vues ne sont pas prévus pour être utilisées dans une iframe, point, mais si c'est jugé trop extrême je peux revenir à sameorigin.
Mis à jour par Paul Marillonnet il y a presque 4 ans
Benjamin Dauvergne a écrit :
C'est volontaire, je n'avais pas réfléchi à deny ou sameorigin dans le premier patch, je faisais juste comme dans combo pour répondre à la demande de l'audit de sécu du CD13. Dans le deuxième patch je me suis dit autant faire le plus, ces vues ne sont pas prévus pour être utilisées dans une iframe, point, mais si c'est jugé trop extrême je peux revenir à sameorigin.
Non au contraire, à mon avis l'option le plus restrictif possible qui pour autant ne casse pas nos usages, c'est nickel.
Mis à jour par Benjamin Dauvergne il y a presque 4 ans
Benjamin Dauvergne a écrit :
Test effectué :Paul Marillonnet a écrit :
N'arrivant pas à reproduire le blocage décrit par Frédéric je ne suis pas en mesure de valider,
Je vais tenter de mon coté alors.
- sur /, /accounts/ et /login/ on a bien le DENY
- j'ai ajouté un champ fichier sur un formulaire avec option pour prendre un fichier dans fargo
- utilisation du formulaire, fargo ouvert dans un autre onglet, je supprime le cookie de session de fargo pour m'assurer qu'on y est pas connecté
- click sur "Utiliser un fichier du porte-document", la liste s'affiche, dans le debugger la requête de SSO donne lieu à une réponse 302 sans entête X-Frame-Options
Mis à jour par Paul Marillonnet il y a presque 4 ans
- Statut changé de Solution proposée à Solution validée
Benjamin Dauvergne a écrit :
Test effectué :
[…]
Top, merci, c'est ok pour moi.
Mis à jour par Benjamin Dauvergne il y a presque 4 ans
- Statut changé de Solution validée à Résolu (à déployer)
commit 8fa965c522fba3be0b778008d495f11a86c7aa3b Author: Benjamin Dauvergne <bdauvergne@entrouvert.com> Date: Thu Jun 25 12:11:39 2020 +0200 mics: apply xframe_options_deny to views (#44435) IdP and auth views are exempted.
Mis à jour par Frédéric Péters il y a presque 4 ans
- Statut changé de Résolu (à déployer) à Solution déployée
mics: apply xframe_options_deny to views (#44435)
IdP and auth views are exempted.