Modifications pour le document Paramètres des URL pour l'intégration Web

Modifié par Aurelie Bertrand le 2025/03/14 15:45
Depuis la version 2.1
modifié par baudard
sur 2021/06/29 12:37
Commentaire de modification : Il n'y a aucun commentaire pour cette version
À la version 4.1
modifié par fperrier
sur 2022/03/14 18:00
Commentaire de modification : Il n'y a aucun commentaire pour cette version

Résumé

Détails

Propriétés de la Page
Auteur du document
... ... @@ -1,1 +1,1 @@
1 -xwiki:XWiki.baudard
1 +xwiki:XWiki.fperrier
Contenu
... ... @@ -124,3 +124,15 @@
124 124  (((
125 125  http:~/~/ddsrv:8080/ddenterpriseapi/viewflow?flowId=2340fd0&user=user1&pass=pass1&Geo=France&HGeo=Geography&LGeo=Country
126 126  )))
127 +
128 += Contraintes de sécurité =
129 +
130 +Certains navigateurs, par exemple Chrome à partir de sa version 80, peuvent refuser de transmettre des cookies provenant d'une page intégrée par une iframe, si cette iframe n'a pas le même domaine que la page l'incluant. Une erreur apparait alors dans la console du navigateur, à propos d'un attribute //SameSite //qui n'est pas défini.
131 +
132 +La solution est de définir l'attribut //SameSite=None// sur le cookie. Cet attribut doit être défini par le conteneur de l'application (Tomcat), ou par le serveur HTTP qui sert la page. (ex. Apache httpd). Il y a de nombreux documents en ligne pour expliquer comment configurer cet attribut de cookie. Pour Tomcat : [[https:~~/~~/tomcat.apache.org/tomcat-9.0-doc/config/cookie-processor.html>>url:https://tomcat.apache.org/tomcat-9.0-doc/config/cookie-processor.html]]. Pour Apache httpd, l'utilisation du module mod_headers peut-être nécessaire.
133 +
134 +Par contre, l'attribut //SameSite// ne peut pas être défini sur un cookie non sécurisé. Donc le cookie doit aussi avoir un attribut //Secure //pour permettre de définir //SameSite=None//. Et l'attribut //Secure// ne peut être défini que si la connexion est en HTTPS.
135 +
136 +Donc, en conséquence, intégrer une page de tableaux de bord, ou une page viewflow, en tant qu'iframe,** si l'iframe et la page l'incluant ont des domaines différents**, nécessite d'utiliser une connexion HTTPS, et de configurer les cookies.
137 +
138 +Le document Mozilla suivant explique cette contrainte : [[https:~~/~~/developer.mozilla.org/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite>>url:https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite]]
1624965167471-356.png
Auteur
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.baudard
Taille
... ... @@ -1,0 +1,1 @@
1 +83.8 KB
Contenu