Projet

Général

Profil

Development #71880

Poser une configuration minimale correcte pour les cookies CSRF et de session

Ajouté par Benjamin Dauvergne il y a plus d'un an. Mis à jour il y a plus d'un an.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Benjamin Dauvergne
Catégorie:
-
Version cible:
-
Début:
30 novembre 2022
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:
Non

Description

Au minimum SESSION_COOKIE_SECURE=True, CSRF_COOKIE_SECURE=True, SESSION_COOKIE_SAMESITE='None' et CSRF_COOKIE_SAMESITE = 'Lax'.

Fichiers

0001-settings-set-cookie-SECURE-and-SAMESITE-attributes-7.patch (829 octets) 0001-settings-set-cookie-SECURE-and-SAMESITE-attributes-7.patch Benjamin Dauvergne, 30 novembre 2022 14:43
0001-settings-set-cookie-SECURE-and-SAMESITE-attributes-7.patch (16 ko) 0001-settings-set-cookie-SECURE-and-SAMESITE-attributes-7.patch Benjamin Dauvergne, 30 novembre 2022 15:10
0001-settings-set-secure-flag-on-cookies-71880.patch (15,9 ko) 0001-settings-set-secure-flag-on-cookies-71880.patch Benjamin Dauvergne, 30 novembre 2022 15:28
0002-settings-set-samesite-flag-on-cookies-when-possible-.patch (1,08 ko) 0002-settings-set-samesite-flag-on-cookies-when-possible-.patch Benjamin Dauvergne, 30 novembre 2022 15:28
0001-settings-set-secure-flag-on-cookies-71880.patch (25,4 ko) 0001-settings-set-secure-flag-on-cookies-71880.patch Benjamin Dauvergne, 30 novembre 2022 20:37
0002-settings-set-samesite-flag-on-cookies-when-possible-.patch (1,08 ko) 0002-settings-set-samesite-flag-on-cookies-when-possible-.patch Benjamin Dauvergne, 30 novembre 2022 20:37

Demandes liées

Lié à Authentic 2 - Bug #71788: Problème de déconnexion lors de connexions à certain SP en SAML2Fermé28 novembre 2022

Actions

Révisions associées

Révision d8d29e2d (diff)
Ajouté par Benjamin Dauvergne il y a plus d'un an

settings: set secure flag on cookies (#71880)

Tests fixes :
  • force https scheme in webtest HTTP client
  • add secure=True to call with the django HTTP client
  • replace http scheme by https in URLs assertions,
  • properly use response.form in tests directly using app.post, as CSRF checks on secure connection also test the Referrer
  • manually add Referer header in other cases,

Révision 4b3bcd01 (diff)
Ajouté par Benjamin Dauvergne il y a plus d'un an

settings: set samesite flag on cookies when possible (#71880)

Historique

#1

Mis à jour par Benjamin Dauvergne il y a plus d'un an

  • Lié à Bug #71788: Problème de déconnexion lors de connexions à certain SP en SAML2 ajouté
#2

Mis à jour par Benjamin Dauvergne il y a plus d'un an

  • Assigné à mis à Benjamin Dauvergne
#3

Mis à jour par Benjamin Dauvergne il y a plus d'un an

#7

Mis à jour par A. Berriot il y a plus d'un an

  • Statut changé de Solution proposée à Solution validée
#8

Mis à jour par Benjamin Dauvergne il y a plus d'un an

  • Statut changé de Solution validée à Résolu (à déployer)
commit 4b3bcd01499a396a7a122b355a9dc95213eeb934
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Wed Nov 30 15:27:52 2022 +0100

    settings: set samesite flag on cookies when possible (#71880)

commit d8d29e2daa3733687710a7c5f185cceaf00bf011
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Wed Nov 30 14:43:02 2022 +0100

    settings: set secure flag on cookies (#71880)

    Tests fixes :
    * force https scheme in webtest HTTP client
    * add secure=True to call with the django HTTP client
    * replace http scheme by https in URLs assertions,
    * properly use response.form in tests directly using app.post, as CSRF checks on secure connection also test the Referrer
    * manually add Referer header in other cases,
#9

Mis à jour par Transition automatique il y a plus d'un an

  • Statut changé de Résolu (à déployer) à Solution déployée
#10

Mis à jour par Transition automatique il y a environ un an

Automatic expiration

Formats disponibles : Atom PDF