Salut,
Je suis en train de créer un nouveau modèle de site web pour notre association, et
j'aimerais intégrer un IFrame de HelloAsso.com. Malheureusement, cela ne fonctionne
pas en raison des restrictions liées à la Politique de Sécurité du Contenu (Content
Security Policy).
J'ai essayé de définir une politique très libérale dans l'en-tête HTML :
<meta http-equiv="Content-Security-Policy" content="default-src https:
data:; img-src https: data:; style-src 'unsafe-inline' https: data:; script-src
'unsafe-inline' https: data:; object-src 'self' blob:" />
Mais cela n'a pas résolu mon problème.
Est-ce que quelqu'un ici a déjà rencontré ce problème et a trouvé une solution ?
Tim
Je viens de tester et aucun souci, Paheko n'a pas de CSP justement pour
permettre ce genre de chose, donc à mon avis le problème ne vient pas
de là ?
Bonjour,
Je commence à comprendre un peu. Dans mon article, j'ai ce code :
<iframe id="haWidget" allowtransparency="true"
src="https://www.helloasso.com/associations/echiquier-romanais-peageois/evenements/17eme-open-d-echec-romans-bourg-de-peage/widget-bouton"
style="width: 100%; height: 70px; border: none;"></iframe>
Par contre, une fois que le code est sur le site, j'ai ceci :
<iframe
src="https://www.helloasso.com/associations/echiquier-romanais-peageois/evenements/17eme-open-d-echec-romans-bourg-de-peage/widget-bouton"
loading="lazy" referrerpolicy="no-referrer"
sandbox="allow-same-origin allow-scripts" frameborder="0"
width="100%" height="70px"></iframe>
Notez le "sandbox="allow-same-origin allow-scripts"". Je ne sais pas
d'où cela vient, mais c'est ce qui empêche le bouton d'ouvrir la pop-up:
widget-bouton:1 Blocked opening
'https://www.helloasso.com/associations/echiquier-romanais-peageois/evenements/17eme-open-d-echec-romans-bourg-de-peage'
in a new window because the request was made in a sandboxed frame whose
'allow-popups' permission is not set.
Alors, j'ai essayé de mettre à jour mon code pour ajouter
sandbox="allow-popups", mais cela est écrasé lorsque la page est générée.
Tim
On 1 Nov 2023 at 22:09 +0100, BohwaZ/Paheko <bohwaz@paheko.cloud>, wrote:
> Je viens de tester et aucun souci, Paheko n'a pas de CSP justement pour
> permettre ce genre de chose, donc à mon avis le problème ne vient pas
> de là ?
>
> --
> Liste d'entraide des utilisateurs de Paheko
> https://paheko.cloud/
>
> Pour se désinscrire : https://paheko.cloud/entraide
> Archives : https://admin.kd2.org/lists/aide@paheko.cloud/archives/
Merci du retour, ça sera corrigé dans la 1.3.2.
Pour contourner pour le moment je te conseille de mettre l'iframe dans
un squelette du site web, plutôt que dans un article.
Merci pour le retour. En attendant, j'ai mis un lien classique. Je ne sais pas ce qui
est prévu pour corriger, mais le fait qu'on ne puisse pas mettre notre propre
paramètre `sandbox` dans un IFRAME est problématique.
Tim
On 4 Nov 2023 at 09:56 +0100, Timothy Armes <tim.armes@gmail.com>, wrote:
> Merci pour le retour. En attendant, j'ai mis un lien classique. Je ne sais
pas ce qui est prévu pour corriger, mais le fait qu'on ne puisse pas mettre notre
propre paramètre `sandbox` dans un IFRAME est problématique.
> Merci pour le retour. En attendant, j'ai mis un lien classique. Je ne
> sais pas ce qui est prévu pour corriger, mais le fait qu'on ne puisse
> pas mettre notre propre paramètre `sandbox` dans un IFRAME est
> problématique.
Non c'est voulu, pour éviter les problèmes de sécurité.
Imagine : tu donne le droit de modifier le site web à un membre,
celui-ci est mal intentionné, ou se fait pirater son compte, et
introduit une iframe qui se superpose à l'interface existante
et ressemble à ton interface et demande ton mot de passe…
Donc un membre ne doit pas pouvoir introduire de risque de sécurité
envers un administrateur.
Si tu veux mettre du HTML sans restriction, il faut le mettre dans le
code des squelettes du site web, pas dans une page du site web, qui est
forcément restreinte pour les raisons de sécurité évoquées :)