IFrame et Safari : manque de Content-Security-Policy
Sous safari, depuis la mise à jour, on a plusieurs comportements étrange, quand on passe par zourit :
- Pad qui ne chargent pas avec une erreur de cookie
- Visio qui chargent sur "vous avez été écarté de la réunion"
- Bouton "télécharger" qui n'apparaît pas sur le cloud (ça, c'est fort j'avoue)
Quand on passe directement sur les sites, le comportement est normal.
Dans la console, j'ai le droit à au moins un message d'erreur qui ressemble à ça :
Blocked a frame with origin "https://reseau.cemea.org" from accessing a frame with origin "https://pad2.zourit.net". Protocols, domains, and ports must match.
.
En lisant un peu MDN, le comportement de Safari est normal, puisqu'on n'a pas renseigné le header Content-Security-Policy, il bloque les iframe cross-domain. Ce qui m'étonne, c'est qu'on n'ait pas le soucis sur les autres navigateurs, qui devraient bloquer aussi ! Et qu'on n'ait pas le soucis sur les mails, à ma connaissance safari vérifie directement le domaine, donc mail.cemea.org et reseau.cemea.org ça ne devrait pas matcher. Mais bon, c'est Safari, parfois c'est mystérieux ...
En tout cas, ajouter un header CSP de la forme frame-ancestors 'self' zourit.beta.mithril.re zourit.net reseau.cemea.org
sur tous les services de zourit (là c'est celui de benevalibre) devrait résoudre tous ces différents soucis