entrouvert/wcs
entrouvert
/
wcs
14
1
Fork 0
Code Issues Pull Requests 34 Releases Activity

misc: add form token when form is single page (#43348) #1161

Merged
fpeters merged 1 commits from wip/43348-single-page-form-token into main 2024-03-01 09:34:16 +01:00
Conversation 0 Commits 1 Files Changed 2 +70
fpeters commented 2024-02-18 13:48:10 +01:00
Owner
Copy Link
No description provided.
fpeters force-pushed wip/43348-single-page-form-token from 1ac00454fc to e5cf5e2d02 2024-02-18 14:17:47 +01:00 Compare
fpeters reviewed 2024-02-18 14:28:12 +01:00
tests/form_pages/test_all.py
@ -5976,0 +5996,4 @@
form_data['magictoken'] = 'xxx'
# simulate call from remote/attacker site (form token prevents this)
resp = app.post(formdef.get_url(), params=form_data)
assert 'The form you have submitted is invalid.' in resp.text
fpeters commented 2024-02-18 14:24:47 +01:00
Author
Owner
Copy Link

C'est la situation initialement citée dans le ticket.

C'est la situation initialement citée dans le ticket.
tests/form_pages/test_all.py
@ -5976,0 +5998,4 @@
resp = app.post(formdef.get_url(), params=form_data)
assert 'The form you have submitted is invalid.' in resp.text
# with confirmation page
fpeters commented 2024-02-18 14:25:51 +01:00
Author
Owner
Copy Link

Puis celle-ci pour valider le commentaire du ticket :

avec confirmation: parce qu'il y aurait forcément affichage de la page de confirmation, voir retour à la première page le magictoken étant peut-être validé dans ce cas.

Puis celle-ci pour valider le commentaire du ticket : > avec confirmation: parce qu'il y aurait forcément affichage de la page de confirmation, voir retour à la première page le magictoken étant peut-être validé dans ce cas.
tests/form_pages/test_all.py
@ -5976,0 +6014,4 @@
resp = app.post(formdef.get_url(), params=form_data, status=302)
assert resp.location == formdef.get_url()
# with multiple pages
fpeters commented 2024-02-18 14:26:19 +01:00
Author
Owner
Copy Link

Et cell-ci pour l'autre partie du commentaire :

multi-page: parce qu'on reviendrait forcément à la première page vu que le magictoken est mauvais (mais ça j'en suis pas certain, si les champs sont optionnels sur les premières pages, avec le bon step peut-être que ça passerait, mais ça fait beaucoup de si) demandant une interaction de l'utilisateur,

Et cell-ci pour l'autre partie du commentaire : > multi-page: parce qu'on reviendrait forcément à la première page vu que le magictoken est mauvais (mais ça j'en suis pas certain, si les champs sont optionnels sur les premières pages, avec le bon step peut-être que ça passerait, mais ça fait beaucoup de si) demandant une interaction de l'utilisateur,
wcs/forms/root.py
@ -623,1 +624,4 @@
form = self.create_form(page, displayed_fields, transient_formdata=transient_formdata)
if page_change is False and page_error_messages:
# ignore form token when there are other errors
form._names.pop('_form_id', None)
fpeters commented 2024-02-18 14:27:35 +01:00
Author
Owner
Copy Link

Cette partie est un peu nulle, nécessaire pour conserver l'affichage d'un message d'erreur adéquait dans test_form_item_data_source_error_no_confirmation (sans ça c'est le message jeton invalide qui s'affiche, ce qui serait trompeur).

Cette partie est un peu nulle, nécessaire pour conserver l'affichage d'un message d'erreur adéquait dans test_form_item_data_source_error_no_confirmation (sans ça c'est le message jeton invalide qui s'affiche, ce qui serait trompeur).
wcs/forms/root.py
@ -1005,0 +1009,4 @@
if len(self.pages) == 1 and not self.formdef.confirmation:
# if there's a form with a single page, no confirmation, add native quixote
# CSRF protection.
form.add(FormTokenWidget, form.TOKEN_NAME)
fpeters commented 2024-02-18 14:28:08 +01:00
Author
Owner
Copy Link

C'est ici la correction au ticket, l'utilisation du FormTokenWidget de quixote pour le cas des formulaires mono-pages sans confirmation.

C'est ici la correction au ticket, l'utilisation du FormTokenWidget de quixote pour le cas des formulaires mono-pages sans confirmation.
fpeters changed title from WIP: misc: add form token when form is single page (#43348) to misc: add form token when form is single page (#43348) 2024-02-18 14:28:19 +01:00
lguerin approved these changes 2024-03-01 09:30:38 +01:00
fpeters merged commit 555ae506e5 into main 2024-03-01 09:34:16 +01:00
fpeters deleted branch wip/43348-single-page-form-token 2024-03-01 09:34:16 +01:00
Sign in to join this conversation.
Reviewers
No reviewers
lguerin
Labels
Clear labels
No items
No Label
Milestone
Clear milestone
No items
No Milestone
Assignees
Clear assignees
No Assignees
2 Participants
Notifications
Due Date
The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: entrouvert/wcs#1161
No description provided.
Delete Branch "wip/43348-single-page-form-token"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?