Development #71880
Poser une configuration minimale correcte pour les cookies CSRF et de session
Début:
30 novembre 2022
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Oui
Planning:
Non
Description
Au minimum SESSION_COOKIE_SECURE=True, CSRF_COOKIE_SECURE=True, SESSION_COOKIE_SAMESITE='None' et CSRF_COOKIE_SAMESITE = 'Lax'.
Fichiers
Demandes liées
Révisions associées
settings: set samesite flag on cookies when possible (#71880)
Historique
Mis à jour par Benjamin Dauvergne il y a plus d'un an
- Lié à Bug #71788: Problème de déconnexion lors de connexions à certain SP en SAML2 ajouté
Mis à jour par Benjamin Dauvergne il y a plus d'un an
- Fichier 0001-settings-set-cookie-SECURE-and-SAMESITE-attributes-7.patch 0001-settings-set-cookie-SECURE-and-SAMESITE-attributes-7.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Mis à jour par Benjamin Dauvergne il y a plus d'un an
Mis à jour par Benjamin Dauvergne il y a plus d'un an
Mis à jour par Benjamin Dauvergne il y a plus d'un an
Mis à jour par A. Berriot il y a plus d'un an
- Statut changé de Solution proposée à Solution validée
Mis à jour par Benjamin Dauvergne il y a plus d'un an
- Statut changé de Solution validée à Résolu (à déployer)
commit 4b3bcd01499a396a7a122b355a9dc95213eeb934 Author: Benjamin Dauvergne <bdauvergne@entrouvert.com> Date: Wed Nov 30 15:27:52 2022 +0100 settings: set samesite flag on cookies when possible (#71880) commit d8d29e2daa3733687710a7c5f185cceaf00bf011 Author: Benjamin Dauvergne <bdauvergne@entrouvert.com> Date: Wed Nov 30 14:43:02 2022 +0100 settings: set secure flag on cookies (#71880) Tests fixes : * force https scheme in webtest HTTP client * add secure=True to call with the django HTTP client * replace http scheme by https in URLs assertions, * properly use response.form in tests directly using app.post, as CSRF checks on secure connection also test the Referrer * manually add Referer header in other cases,
Mis à jour par Transition automatique il y a plus d'un an
- Statut changé de Résolu (à déployer) à Solution déployée
settings: set secure flag on cookies (#71880)
Tests fixes :