FusionForge de l'ADULLACT: Prodige : [#8869] Transmission referer en HTTPS

Date :
29/06/2017 11:07

Priorité :
3

État :
Closed

Proposé par :
Philippe TERME (terme)

Confié à :
Nobody (None)

Product :
prodige

Component :
none

Version :
V4.0

Severity :
none

Resolution :
none

Navigateur :

Version du navigateur :

Résumé :
Transmission referer en HTTPS

Description détaillée
Certains fournisseurs de flux WMS comme Georef ne peuvent plus fournir de flux car ils fonctionnent avec un referer et n'arrivent plus à lire le referer de Sigloire depuis qu'il est passé en HTTPS. extrait des échanges avec le PSIN Bonjour, Je confirme que le referer n est actuellement pas transmis par sigloire. Nous ne pouvons donc vous aider sauf évolution de l application. Nous vous invitons à ouvrir un nouveau ticket si besoin. Bien cordialement. La 'protection' des accès internet aux ressources Géoref se fait en effet en contrôlant le referer. Or c est le navigateur qui envoie le referer dans ses requêtes HTTP, HTTPS, etc. Mais le W3C indique que lorsqu un site HTTPS sollicite un site HTTP, le referer ne doit pas être transmis : C est en fait interdit : https://www.w3.org/Protocols/rfc2616/rfc2616-sec15.html#sec15.1.3 'Clients SHOULD NOT include a Referer header field in a [non-secure] HTTP request if the referring page was transferred with a secure protocol.' Il existe malgré tout des solutions de contournement suivant les navigateurs s ils supportent le 'referrer meta tag'. cf. http://caniuse.com/#feat=referrer-policy
Certains fournisseurs de flux WMS comme Georef ne peuvent plus fournir de flux car ils fonctionnent avec un referer et n'arrivent plus à lire le referer de Sigloire depuis qu'il est passé en HTTPS. extrait des échanges avec le PSIN Bonjour, Je confirme que le referer n est actuellement pas transmis par sigloire. Nous ne pouvons donc vous aider sauf évolution de l application. Nous vous invitons à ouvrir un nouveau ticket si besoin. Bien cordialement. La 'protection' des accès internet aux ressources Géoref se fait en effet en contrôlant le referer. Or c est le navigateur qui envoie le referer dans ses requêtes HTTP, HTTPS, etc. Mais le W3C indique que lorsqu un site HTTPS sollicite un site HTTP, le referer ne doit pas être transmis : C est en fait interdit : https://www.w3.org/Protocols/rfc2616/rfc2616-sec15.html#sec15.1.3 'Clients SHOULD NOT include a Referer header field in a [non-secure] HTTP request if the referring page was transferred with a secure protocol.' Il existe malgré tout des solutions de contournement suivant les navigateurs s ils supportent le 'referrer meta tag'. cf. http://caniuse.com/#feat=referrer-policy

Commentaires (3)
Pièces jointes
Modifications (2)

Message
Date : 29/06/2017 15:19 Expéditeur : Gaelle Diouris Message transmis sur la liste labo.prodige
Date : 29/06/2017 14:19 Expéditeur : Philippe TERME Cet état de fait (qui me pénalise fortement néanmoins) servira au moins d'information générale aux autres plateforme.
Date : 29/06/2017 13:32 Expéditeur : Gaelle Diouris Je comprends bien le pb mais je ne vois pas de solution coté Prodige (sauf revenir au http !). De plus la fermeture des serveurs Géoref est programmée au profit des flux du Géoportail.

Pas de documents joints

Champ	Ancienne valeur	Date	Par
status_id	Open	29/06/2017 15:19	Gaelle Diouris
close_date	Aucun(e)	29/06/2017 15:19	Gaelle Diouris

Powered By FusionForge Collaborative Development Environment

Charte d'utilisation / Nous contacter / Mentions légales

Haut de page