Project

General

Profile

Development #95195

Lorsque la cible de {% make_public_url url=… %} est une redirection HTTP, considérer des cas où le jeton de signature doit être conservé en fin de redirection

Added by Paul Marillonnet 24 days ago. Updated 23 days ago.

Status:
Rejeté
Priority:
Normal
Target version:
-
Start date:
10 September 2024
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No

Description

Par exemple une demande contenant une pièce jointe dont l’url de téléchargement accessible via l’inspect est de la forme /<slug du formulaire>/<numéro de demande>/attachement?f=<uuid du fichier>/, laquelle est en fait une redirection HTTP vers /<slug du formulaire>/<numéro de demande>/files/attachemement-<uuid du fichier/<nom du fichier>

Lorsqu’on tape un {% make_public_url url=… %} avec la seconde url, on a bien le comportement attendu.
On pourrait se dire que, dans la mesure où la première et la seconde url partagent la même origine, il pourrait en être de même avec la première url ; cependant actuellement ce n’est pas le cas, un {% make_public_url url=… %} sur la première url ne permet pas d’accéder à la ressource ciblée.

History

#3

Updated by Frédéric Péters 24 days ago

Ça ne va pas pouvoir se faire au niveau de la l'URL /api/sign-url-token/..., ça peut s'imaginer au niveau des liens ensuite ciblés ("si la requête était signée, signer la redirection"), mais ça sera donc au cas par cas.

Ici donc, cas attachement?f=uuid.

#4

Updated by Paul Marillonnet 24 days ago

  • Description updated (diff)

(désolé la description était mal formatée et galère à lire, j’ai corrigé)

#5

Updated by Paul Marillonnet 24 days ago

  • Description updated (diff)
#6

Updated by Robot Gitea 24 days ago

  • Status changed from Nouveau to En cours
  • Assignee set to Frédéric Péters

Frédéric Péters (fpeters) a ouvert une pull request sur Gitea concernant cette demande :

#7

Updated by Paul Marillonnet 24 days ago

  • Assignee changed from Frédéric Péters to Benjamin Dauvergne

Frédéric Péters a écrit :

Ça ne va pas pouvoir se faire au niveau de la l'URL /api/sign-url-token/...,

Oui, sûr, au temps pour moi.

ça peut s'imaginer au niveau des liens ensuite ciblés ("si la requête était signée, signer la redirection"), mais ça sera donc au cas par cas.

Ici donc, cas attachement?f=uuid.

OK, merci, je double-vérifie avec la CPF du ticket concerné que ce cas attachment?f=… permet bien de taper dans les fichiers auxquels elle cherche à accéder (ce que j’aurais pu faire en première instance avant de créer le ticket, mes excuses) ; je ne connais pas la démarche et cette vérification ne saute pas aux yeux en parcourant l’inspect seul de mon côté.

#8

Updated by Frédéric Péters 24 days ago

  • Assignee changed from Benjamin Dauvergne to Frédéric Péters
#9

Updated by Frédéric Péters 24 days ago

Cela étant je pense que pour l'objectif pointé là, ça ne va pas aller, make_public_url se fait par rapport à la session, ça n'est pas applicable pour des courriels.

#10

Updated by Frédéric Péters 24 days ago

  • Status changed from En cours to Rejeté

Trop de complications (l'adresse d'un fichier attaché au workflow d'une fiche va être sous /backoffice/, ce qui va de toute façon demander des accès, et on ne veut malgré tout pas permettre à n'importe quel appel signé de télécharger n'importe quoi), pour pas d'utilité réelle (puisque ça ne couvre pas le cas d'usage du ticket d'origine).

#11

Updated by Robot Gitea 24 days ago

Frédéric Péters (fpeters) a fermé une pull request sur Gitea concernant cette demande.

Also available in: Atom PDF