Development #85904: la détection "same origin" pour interdire le logout empêche un lien d'Authentic vers combo/logout de fonctionner - django-mellon - Redmine Entr’ouvert

Development #85904

la détection "same origin" pour interdire le logout empêche un lien d'Authentic vers combo/logout de fonctionner

Ajouté par Frédéric Péters il y a 3 mois. Mis à jour il y a 3 mois.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Benjamin Dauvergne

Version cible:

-

Début:

19 janvier 2024

Echéance:

% réalisé:

0%

Temps estimé:

Patch proposed:

Non

Planning:

Non

Description

#85833

Une entrée de menu combo pour une page "déconnexion", qui fait une redirection vers /logout.

Ce menu affiché côté authentic.

Sur un clic dessus, redirection vers $combo/deconnexion, qui fait redirection sur $combo/logout, qui fait redirection sur /accounts/mellon/logout/ qui refuse

logout refused referer 'https://domaine authentic/' is not of the same origin

Warning affiché dans les logs. Si ça ne doit pas marcher, j'imaginerais préférable d'afficher un message.

Révisions associées

Révision 51ee9d8c (diff)
Ajouté par Benjamin Dauvergne il y a 3 mois

views: show message when logout is refused (#85904)

Historique

#2

Mis à jour par Benjamin Dauvergne il y a 3 mois

Impossible de faire un menu qui soit directement l'URL qu'on lui a défini comme URL de redirection i.e. ne pas repasser par combo ? Si on est sur authentic il ne faut pas taper sur {{ portail_url }}/logout, on peut inventer tout sorte de contournements mais ce n'est pas normal de passer par là.

Au passage il faudrait normaliser l'URL coté w.c.s (c'est spécifiquement "/logout" et pas "/logout/" ça doit aussi pouvoir poser souci ici) voir #62723.

#3

Mis à jour par Frédéric Péters il y a 3 mois

Impossible de faire un menu qui soit directement l'URL qu'on lui a défini comme URL de redirection i.e. ne pas repasser par combo ?

C'est toujours l'adresse de la page qui est reprise (évidemment ça pourrait évoluer).

#4

Mis à jour par Benjamin Dauvergne il y a 3 mois

Assigné à mis à Benjamin Dauvergne

#5

Mis à jour par Robot Gitea il y a 3 mois

Statut changé de Nouveau à Solution proposée

Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/django-mellon/pulls/13
Titre : views: show message when logout is refused (#85904)
Modifications : https://git.entrouvert.org/entrouvert/django-mellon/pulls/13/files

#6

Mis à jour par Robot Gitea il y a 3 mois

Statut changé de Solution proposée à En cours

Benjamin Dauvergne (bdauvergne) a commencé à travailler sur une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/django-mellon/pulls/13
Titre : WIP: views: show message when logout is refused (#85904)
Modifications : https://git.entrouvert.org/entrouvert/django-mellon/pulls/13/files

#7

Mis à jour par Robot Gitea il y a 3 mois

Statut changé de En cours à Solution proposée

#8

Mis à jour par Robot Gitea il y a 3 mois

Statut changé de Solution proposée à Solution validée

Emmanuel Cazenave (ecazenave) a approuvé une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/django-mellon/pulls/13

#9

Mis à jour par Robot Gitea il y a 3 mois

Statut changé de Solution validée à Résolu (à déployer)

Benjamin Dauvergne (bdauvergne) a mergé une pull request sur Gitea concernant cette demande :

URL : https://git.entrouvert.org/entrouvert/django-mellon/pulls/13
Titre : views: show message when logout is refused (#85904)
Modifications : https://git.entrouvert.org/entrouvert/django-mellon/pulls/13/files

#10

Mis à jour par Transition automatique il y a 3 mois

Statut changé de Résolu (à déployer) à Solution déployée

#11

Mis à jour par Transition automatique il y a 29 jours

Automatic expiration

Formats disponibles : Atom PDF