Development #95195
Lorsque la cible de {% make_public_url url=… %} est une redirection HTTP, considérer des cas où le jeton de signature doit être conservé en fin de redirection
0%
Description
Par exemple une demande contenant une pièce jointe dont l’url de téléchargement accessible via l’inspect est de la forme /<slug du formulaire>/<numéro de demande>/attachement?f=<uuid du fichier>/
, laquelle est en fait une redirection HTTP vers /<slug du formulaire>/<numéro de demande>/files/attachemement-<uuid du fichier/<nom du fichier>
Lorsqu’on tape un {% make_public_url url=… %}
avec la seconde url, on a bien le comportement attendu.
On pourrait se dire que, dans la mesure où la première et la seconde url partagent la même origine, il pourrait en être de même avec la première url ; cependant actuellement ce n’est pas le cas, un {% make_public_url url=… %}
sur la première url ne permet pas d’accéder à la ressource ciblée.
History
Updated by Frédéric Péters 24 days ago
Ça ne va pas pouvoir se faire au niveau de la l'URL /api/sign-url-token/..., ça peut s'imaginer au niveau des liens ensuite ciblés ("si la requête était signée, signer la redirection"), mais ça sera donc au cas par cas.
Ici donc, cas attachement?f=uuid.
Updated by Paul Marillonnet 24 days ago
- Description updated (diff)
(désolé la description était mal formatée et galère à lire, j’ai corrigé)
Updated by Robot Gitea 24 days ago
- Status changed from Nouveau to En cours
- Assignee set to Frédéric Péters
Frédéric Péters (fpeters) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/wcs/pulls/1787
- Titre : WIP: misc: reapply signature when redirecting to attachment final URL (#95195)
- Modifications : https://git.entrouvert.org/entrouvert/wcs/pulls/1787/files
Updated by Paul Marillonnet 24 days ago
- Assignee changed from Frédéric Péters to Benjamin Dauvergne
Frédéric Péters a écrit :
Ça ne va pas pouvoir se faire au niveau de la l'URL /api/sign-url-token/...,
Oui, sûr, au temps pour moi.
ça peut s'imaginer au niveau des liens ensuite ciblés ("si la requête était signée, signer la redirection"), mais ça sera donc au cas par cas.
Ici donc, cas attachement?f=uuid.
OK, merci, je double-vérifie avec la CPF du ticket concerné que ce cas attachment?f=…
permet bien de taper dans les fichiers auxquels elle cherche à accéder (ce que j’aurais pu faire en première instance avant de créer le ticket, mes excuses) ; je ne connais pas la démarche et cette vérification ne saute pas aux yeux en parcourant l’inspect seul de mon côté.
Updated by Frédéric Péters 24 days ago
- Assignee changed from Benjamin Dauvergne to Frédéric Péters
Updated by Frédéric Péters 24 days ago
Cela étant je pense que pour l'objectif pointé là, ça ne va pas aller, make_public_url se fait par rapport à la session, ça n'est pas applicable pour des courriels.
Updated by Frédéric Péters 24 days ago
- Status changed from En cours to Rejeté
Trop de complications (l'adresse d'un fichier attaché au workflow d'une fiche va être sous /backoffice/, ce qui va de toute façon demander des accès, et on ne veut malgré tout pas permettre à n'importe quel appel signé de télécharger n'importe quoi), pour pas d'utilité réelle (puisque ça ne couvre pas le cas d'usage du ticket d'origine).
Updated by Robot Gitea 24 days ago
Frédéric Péters (fpeters) a fermé une pull request sur Gitea concernant cette demande.