Envole

Premier test avec l’application kanboard.

L’erreur est la suivante :

Content-Security-Policy : Les paramètres de la page ont empêché le chargement d’une ressource (connect-src) à l’adresse https://portail.cellulesud.ac-reunion.fr:8443/login?service=https%3A%2F%2Fportail.cellulesud.ac-reunion.fr%2Fsondepiwik%2Fsonde.php%3Fappli%3Dkanboard%26route%3Dhttps%253A%252F%252Fportail.cellulesud.ac-reunion.fr%252Fkanboard%252F%253Fcontroller%253DDashboardController%2526action%253Dshow&gateway=true car elle enfreint la directive suivante : « default-src 'self' »

La configuration de l’application kanboard concernant les CSP est la suivante :

$container['cspRules'] = array(
 'default-src' => "'self'",
 'style-src' => "'self' 'unsafe-inline'",
 'img-src' => '* data:',

En modifiant la règle par défaut, la sonde fait bien son office

$container['cspRules'] = array(
 'default-src' => "https://scribe.ac-test.fr:*",
 'style-src' => "'self' 'unsafe-inline'",
 'img-src' => '* data:',

Cet exemple de l’application kanboard laisse penser que la résolution du problème passe par une adaptation de la configuration des applications plutôt que par la modification de eole-sso :
- ce sont les règles de l’application qui sont examinées ;
- les changements qu’on peut faire côté eole-sso ne devraient pas permettre de passer outre les règles de l’application.

Ce dernier point reste à établir avec plus de vérifications. Un unique changement côté eole-sso pouvant potentiellement être plus simple que des adaptations de chaque application (à voir).

Plutot que de modifier eolesso ou de modifier les régles de sécurité de chaque app sur l'execution des js
si le port sso est différent de 443 on ajoute à la conf apache de la sonde piwi une conf qui fait office de reverse proxy pour que /proxysso serve https://mondomain:monportsso