Development #64826: passer X-Frame-Options à SAMEORIGIN - Combo - Redmine Entr’ouvert

Development #64826

passer X-Frame-Options à SAMEORIGIN

Ajouté par Frédéric Péters il y a presque 2 ans. Mis à jour il y a presque 2 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Frédéric Péters

Version cible:

Début:

03 mai 2022

Echéance:

% réalisé:

Temps estimé:

Patch proposed:

Oui

Planning:

Non

Tags:

django32

Description

En passant à Django 3.2 on passe à la nouvelle valeur par défaut qui est DENY, ce qui va faire foirer l'<embed> utilisé pour les graphes.

Fichiers

0001-settings-keep-x-frame-options-set-to-sameorigin-6482.patch (683 octets) 0001-settings-keep-x-frame-options-set-to-sameorigin-6482.patch		Frédéric Péters, 03 mai 2022 19:58
0001-dataviz-set-x-frame-options-to-sameorigin-for-embedd.patch (1,22 ko) 0001-dataviz-set-x-frame-options-to-sameorigin-for-embedd.patch		Frédéric Péters, 04 mai 2022 20:50

Révisions associées

Révision 72a51238 (diff)
Ajouté par Frédéric Péters il y a presque 2 ans

dataviz: set x-frame-options to sameorigin for embedded graphs (#64826)

Historique

Mis à jour par Frédéric Péters il y a presque 2 ans

Fichier 0001-settings-keep-x-frame-options-set-to-sameorigin-6482.patch 0001-settings-keep-x-frame-options-set-to-sameorigin-6482.patch ajouté
Statut changé de Nouveau à Solution proposée
Patch proposed changé de Non à Oui

cf https://code.djangoproject.com/ticket/30426#comment:18

Mis à jour par Thomas Noël il y a presque 2 ans

Statut changé de Solution proposée à Solution validée

Ca va marcher, parfait, ajouter un mini commentaire au dessus du settings ?

# configure django.middleware.clickjacking.XFrameOptionsMiddleware' MIDDLEWARE
# see https://docs.djangoproject.com/en/3.2/ref/clickjacking/#how-to-use-it
X_FRAME_OPTIONS = 'SAMEORIGIN'

Et pour ma curiosité perso, si ça ne concerne que les vues qui génèrent des embed, on ne peut pas jouer avec le décorateur xframe_options_sameorigin sur cette/ces vues concernées ? Ou bien on considère de SAMEORIGIN est déjà une protection toute à fait suffisante ?

Mis à jour par Frédéric Péters il y a presque 2 ans

Statut changé de Solution validée à En cours

Je vais tenter l'@xframe_options_sameorigin, je n'avais pas cherché voir si ça existait, ni comment ces entêtes marchaient.

Mis à jour par Frédéric Péters il y a presque 2 ans

Fichier 0001-dataviz-set-x-frame-options-to-sameorigin-for-embedd.patch 0001-dataviz-set-x-frame-options-to-sameorigin-for-embedd.patch ajouté
Statut changé de En cours à Solution proposée

Mis à jour par Thomas Noël il y a presque 2 ans

Statut changé de Solution proposée à Solution validée

Mis à jour par Frédéric Péters il y a presque 2 ans

Statut changé de Solution validée à Résolu (à déployer)

commit 72a512383177c28a7daa7f8ba6c47afbd3aa3ef2
Author: Frédéric Péters <fpeters@entrouvert.com>
Date:   Tue May 3 19:58:27 2022 +0200

    dataviz: set x-frame-options to sameorigin for embedded graphs (#64826)

Mis à jour par Transition automatique il y a presque 2 ans

Statut changé de Résolu (à déployer) à Solution déployée

Mis à jour par Transition automatique il y a presque 2 ans

Automatic expiration

Formats disponibles : Atom PDF

Projet

Général

Profil

Produits Entr'ouvert » Combo

Demandes

Rapports personnalisés