Modifications pour le document Paramètres des URL pour l'intégration Web

Modifié par Aurelie Bertrand le 2025/03/14 15:45
Depuis la version 1.1
modifié par jhurst
sur 2020/07/21 11:35
Commentaire de modification : Imported from XAR
À la version 4.1
modifié par fperrier
sur 2022/03/14 18:00
Commentaire de modification : Il n'y a aucun commentaire pour cette version

Résumé

Détails

Propriétés de la Page
Auteur du document
... ... @@ -1,1 +1,1 @@
1 -xwiki:XWiki.jhurst
1 +xwiki:XWiki.fperrier
Contenu
... ... @@ -2,6 +2,11 @@
2 2  
3 3  ----
4 4  
5 +(% class="box infomessage" %)
6 +(((
7 +**Prérequis : **Les propositions d'intégration d'objets DigDash (tableaux de bord, pages, flux, etc.) dans des iframe nécessitent de mettre en place ces balises iframe au sein de pages HTML, elles-mêmes distribuées par un serveur Web.
8 +)))
9 +
5 5  (% class="wikigeneratedid" id="HIntroduction" %)
6 6  Dans ce document, nous présentons des URLs fonctionnant dans le contexte suivant :
7 7  
... ... @@ -119,3 +119,15 @@
119 119  (((
120 120  http:~/~/ddsrv:8080/ddenterpriseapi/viewflow?flowId=2340fd0&user=user1&pass=pass1&Geo=France&HGeo=Geography&LGeo=Country
121 121  )))
127 +
128 += Contraintes de sécurité =
129 +
130 +Certains navigateurs, par exemple Chrome à partir de sa version 80, peuvent refuser de transmettre des cookies provenant d'une page intégrée par une iframe, si cette iframe n'a pas le même domaine que la page l'incluant. Une erreur apparait alors dans la console du navigateur, à propos d'un attribute //SameSite //qui n'est pas défini.
131 +
132 +La solution est de définir l'attribut //SameSite=None// sur le cookie. Cet attribut doit être défini par le conteneur de l'application (Tomcat), ou par le serveur HTTP qui sert la page. (ex. Apache httpd). Il y a de nombreux documents en ligne pour expliquer comment configurer cet attribut de cookie. Pour Tomcat : [[https:~~/~~/tomcat.apache.org/tomcat-9.0-doc/config/cookie-processor.html>>url:https://tomcat.apache.org/tomcat-9.0-doc/config/cookie-processor.html]]. Pour Apache httpd, l'utilisation du module mod_headers peut-être nécessaire.
133 +
134 +Par contre, l'attribut //SameSite// ne peut pas être défini sur un cookie non sécurisé. Donc le cookie doit aussi avoir un attribut //Secure //pour permettre de définir //SameSite=None//. Et l'attribut //Secure// ne peut être défini que si la connexion est en HTTPS.
135 +
136 +Donc, en conséquence, intégrer une page de tableaux de bord, ou une page viewflow, en tant qu'iframe,** si l'iframe et la page l'incluant ont des domaines différents**, nécessite d'utiliser une connexion HTTPS, et de configurer les cookies.
137 +
138 +Le document Mozilla suivant explique cette contrainte : [[https:~~/~~/developer.mozilla.org/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite>>url:https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Set-Cookie/SameSite]]
1624965167471-356.png
Auteur
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.baudard
Taille
... ... @@ -1,0 +1,1 @@
1 +83.8 KB
Contenu