Project

General

Profile

Development #44435

ajouter django.middleware.clickjacking.XFrameOptionsMiddleware

Added by Benjamin Dauvergne 11 days ago. Updated 5 days ago.

Status:
Solution déployée
Priority:
Normal
Category:
-
Target version:
-
Start date:
25 Jun 2020
Due date:
% Done:

0%

Patch proposed:
Yes
Planning:
No

Description

Comme ailleurs.

0001-settings-add-XFrameOptionsMiddleware-44435.patch View (801 Bytes) Benjamin Dauvergne, 25 Jun 2020 10:54 AM

Screenshot_2020-06-25 Montoulouse fr - Auquo - fichier fargo.png View (91.9 KB) Frédéric Péters, 25 Jun 2020 11:31 AM

0001-mics-apply-xframe_options_deny-to-views-44435.patch View (1.23 KB) Benjamin Dauvergne, 25 Jun 2020 12:13 PM

45808

Associated revisions

Revision 8fa965c5 (diff)
Added by Benjamin Dauvergne 10 days ago

mics: apply xframe_options_deny to views (#44435)

IdP and auth views are exempted.

History

#1 Updated by Benjamin Dauvergne 11 days ago

  • Assignee set to Benjamin Dauvergne

#2 Updated by Benjamin Dauvergne 11 days ago

#3 Updated by Paul Marillonnet 11 days ago

  • Status changed from Solution proposée to Solution validée

Okay.

#10 Updated by Paul Marillonnet 11 days ago

  • Status changed from Solution validée to Solution proposée

Et donc décorer (xframe_options_exempt) la vue de login ?

#12 Updated by Benjamin Dauvergne 11 days ago

Nouvelle idée, /idp/saml2/login sera exempté donc si on est déjà connecté on doit pouvoir ouvrir fargo dans une iframe.

#13 Updated by Paul Marillonnet 11 days ago

Benjamin Dauvergne a écrit :

Nouvelle idée, /idp/saml2/login sera exempté donc si on est déjà connecté on doit pouvoir ouvrir fargo dans une iframe.

N'arrivant pas à reproduire le blocage décrit par Frédéric je ne suis pas en mesure de valider, mais je note tout de même que dans ce nouveau patch on passe de sameorigin à deny pour la valeur de l'entête X-Frame-Options (ce qui est peut-être volontaire, mais si ce n'est pas le cas, c'est le décorateur xframe_options_sameorigin qu'il faut utiliser).

#14 Updated by Benjamin Dauvergne 11 days ago

Paul Marillonnet a écrit :

N'arrivant pas à reproduire le blocage décrit par Frédéric je ne suis pas en mesure de valider,

Je vais tenter de mon coté alors.

mais je note tout de même que dans ce nouveau patch on passe de sameorigin à deny pour la valeur de l'entête X-Frame-Options (ce qui est peut-être volontaire, mais si ce n'est pas le cas, c'est le décorateur xframe_options_sameorigin qu'il faut utiliser).

C'est volontaire, je n'avais pas réfléchi à deny ou sameorigin dans le premier patch, je faisais juste comme dans combo pour répondre à la demande de l'audit de sécu du CD13. Dans le deuxième patch je me suis dit autant faire le plus, ces vues ne sont pas prévus pour être utilisées dans une iframe, point, mais si c'est jugé trop extrême je peux revenir à sameorigin.

#15 Updated by Paul Marillonnet 10 days ago

Benjamin Dauvergne a écrit :

C'est volontaire, je n'avais pas réfléchi à deny ou sameorigin dans le premier patch, je faisais juste comme dans combo pour répondre à la demande de l'audit de sécu du CD13. Dans le deuxième patch je me suis dit autant faire le plus, ces vues ne sont pas prévus pour être utilisées dans une iframe, point, mais si c'est jugé trop extrême je peux revenir à sameorigin.

Non au contraire, à mon avis l'option le plus restrictif possible qui pour autant ne casse pas nos usages, c'est nickel.

#16 Updated by Benjamin Dauvergne 10 days ago

Benjamin Dauvergne a écrit :

Paul Marillonnet a écrit :

N'arrivant pas à reproduire le blocage décrit par Frédéric je ne suis pas en mesure de valider,

Je vais tenter de mon coté alors.

Test effectué :
  • sur /, /accounts/ et /login/ on a bien le DENY
  • j'ai ajouté un champ fichier sur un formulaire avec option pour prendre un fichier dans fargo
  • utilisation du formulaire, fargo ouvert dans un autre onglet, je supprime le cookie de session de fargo pour m'assurer qu'on y est pas connecté
  • click sur "Utiliser un fichier du porte-document", la liste s'affiche, dans le debugger la requête de SSO donne lieu à une réponse 302 sans entête X-Frame-Options

#17 Updated by Paul Marillonnet 10 days ago

  • Status changed from Solution proposée to Solution validée

Benjamin Dauvergne a écrit :

Test effectué :
[…]

Top, merci, c'est ok pour moi.

#18 Updated by Benjamin Dauvergne 10 days ago

  • Status changed from Solution validée to Résolu (à déployer)
commit 8fa965c522fba3be0b778008d495f11a86c7aa3b
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Thu Jun 25 12:11:39 2020 +0200

    mics: apply xframe_options_deny to views (#44435)

    IdP and auth views are exempted.

#19 Updated by Frédéric Péters 5 days ago

  • Status changed from Résolu (à déployer) to Solution déployée

Also available in: Atom PDF