Development #48347
auth_oidc: contourner le bug SameSite=None dans Safari
Début:
06 novembre 2020
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Oui
Planning:
Non
Description
On est toujours en Django 1.11 en production, qui ne gère pas SameSite dans set_cookie() mais on peut contourner ça.
Fichiers
Révisions associées
Historique
Mis à jour par Benjamin Dauvergne il y a plus de 3 ans
- Fichier 0001-auth_oidc-enforce-SameSite-Lax-on-the-state-cookie-4.patch 0001-auth_oidc-enforce-SameSite-Lax-on-the-state-cookie-4.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Je me suis aperçu en le codant que Lax étant la valeur par défaut et oidc-state étant un nouveau cookie qui ne reçoit pas SameSite=None comme le cookie CSRF et de session (configuration par défaut dans debian_config_common.py), ce ticket n'est pas vraiment nécessaire, le fait d'utiliser un nouveau cookie au lieu de la session avec SameSite=None corrige déjà le bug dans Safari, mais j'ai préféré être explicite pour qu'on ne se pose pas la question dans le futur de le passer en Strict ou None.
Mis à jour par Benjamin Dauvergne il y a plus de 3 ans
Mis à jour par Benjamin Dauvergne il y a plus de 3 ans
Mis à jour par Benjamin Dauvergne il y a environ 3 ans
- Statut changé de Solution proposée à Résolu (à déployer)
commit 7514632fe6ba93afd039490c73fa00e726ae9a9a Author: Benjamin Dauvergne <bdauvergne@entrouvert.com> Date: Sat Nov 7 11:30:21 2020 +0100 auth_oidc: enforce SameSite=Lax on the state cookie (#48347) SameSite=Lax is needed for the cookie to be sent by the browser during redirection chain from the provider. We could just depend on the fact that cookie without SameSite are Lax by default, but it's better to be explicit.
Mis à jour par Frédéric Péters il y a environ 3 ans
- Statut changé de Résolu (à déployer) à Solution déployée
auth_oidc: enforce SameSite=Lax on the state cookie (#48347)
SameSite=Lax is needed for the cookie to be sent by the browser during
redirection chain from the provider. We could just depend on the fact
that cookie without SameSite are Lax by default, but it's better to be
explicit.