Development #64826
passer X-Frame-Options à SAMEORIGIN
Début:
03 mai 2022
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Oui
Planning:
Non
Description
En passant à Django 3.2 on passe à la nouvelle valeur par défaut qui est DENY, ce qui va faire foirer l'<embed> utilisé pour les graphes.
Fichiers
Révisions associées
Historique
Mis à jour par Frédéric Péters il y a presque 2 ans
- Fichier 0001-settings-keep-x-frame-options-set-to-sameorigin-6482.patch 0001-settings-keep-x-frame-options-set-to-sameorigin-6482.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Mis à jour par Thomas Noël il y a presque 2 ans
- Statut changé de Solution proposée à Solution validée
Ca va marcher, parfait, ajouter un mini commentaire au dessus du settings ?
# configure django.middleware.clickjacking.XFrameOptionsMiddleware' MIDDLEWARE # see https://docs.djangoproject.com/en/3.2/ref/clickjacking/#how-to-use-it X_FRAME_OPTIONS = 'SAMEORIGIN'
Et pour ma curiosité perso, si ça ne concerne que les vues qui génèrent des embed, on ne peut pas jouer avec le décorateur xframe_options_sameorigin
sur cette/ces vues concernées ? Ou bien on considère de SAMEORIGIN est déjà une protection toute à fait suffisante ?
Mis à jour par Frédéric Péters il y a presque 2 ans
- Statut changé de Solution validée à En cours
Je vais tenter l'@xframe_options_sameorigin, je n'avais pas cherché voir si ça existait, ni comment ces entêtes marchaient.
Mis à jour par Frédéric Péters il y a presque 2 ans
- Fichier 0001-dataviz-set-x-frame-options-to-sameorigin-for-embedd.patch 0001-dataviz-set-x-frame-options-to-sameorigin-for-embedd.patch ajouté
- Statut changé de En cours à Solution proposée
Mis à jour par Thomas Noël il y a presque 2 ans
- Statut changé de Solution proposée à Solution validée
Mis à jour par Frédéric Péters il y a presque 2 ans
- Statut changé de Solution validée à Résolu (à déployer)
commit 72a512383177c28a7daa7f8ba6c47afbd3aa3ef2 Author: Frédéric Péters <fpeters@entrouvert.com> Date: Tue May 3 19:58:27 2022 +0200 dataviz: set x-frame-options to sameorigin for embedded graphs (#64826)
Mis à jour par Transition automatique il y a presque 2 ans
- Statut changé de Résolu (à déployer) à Solution déployée
dataviz: set x-frame-options to sameorigin for embedded graphs (#64826)