Produits Entr'ouvert » django-mellon

À mon avis on devrait rajouter ça maintenant:

sec_fetch_mode = request.headers.get('sec-fetch-mode')
if sec_fetch_mode and sec_fetch_mode != 'navigate':
    return

Mais je me demande quand même comment on fait pour personnaliser le template d'une brique en fonction du statut connecté ou pas d'un utilisateur si une cellule est chargée en ajax, visiblement ça ne marchera jamais si on est pas d'abord connecté au portail. J'ai l'impression qu'on a déjà cette discussion qui avait peut-être menée à détecté ces appels ajax dans mellon.

Benjamin Dauvergne a écrit :

À mon avis on devrait rajouter ça maintenant:
[...]

Ça marcherait sur mon exemple, la requête est faite avec :

Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site

Benjamin Dauvergne a écrit :

visiblement ça ne marchera jamais si on est pas d'abord connecté au portail.

Oui même analyse ici avec Thomas N.

Sinon juste avant ton message, je m'apprêtais à suggérer de passer systématiquement un ?no-passive-auth dans combo.public.js::combo_load_cell sur l'idée qu'une authent passive ne peut pas marcher en ajax.

Emmanuel Cazenave a écrit :

Benjamin Dauvergne a écrit :

visiblement ça ne marchera jamais si on est pas d'abord connecté au portail.

Oui même analyse ici avec Thomas N.

Je dis ça parce qu'en première analyse je voulais autoriser le passage des requêtes CORS sur /idp/saml2/sso/, car en vrai c'est ça qui bloque, le fait que le endpoint de SSO SAML n'ajoute pas l'entête Allow-CORS (à faire sélectivement certainement, genre en testant que l'entête Origin match le domaine du service SAML demandeur et en posant Allow-CORS: header['origin']). Ce ticket c'est pour garder le statu-quo actuel, c'est déjà bien.