Problème "contenu mixte actif" & "requête multiorigines"

Question

Problème "contenu mixte actif" & "requête multiorigines"

etienne-64 opened this issue 9 months ago · comments

Stéphane Vogelsinger commented 9 months ago

Bonjour,

Après migration, problème de blocages avec Firefox (notamment login) dû à des problèmes de "contenu mixte actif" & "requête multiorigines"

Je n'ai fait aucun changement de configuration côté Apache. L'application de fonctionne correctement qu'en http.

Ai-je râté quelque chose au niveau de la config ?

Merci d'avance pour les pistes.

Didier Barzin · Answer 1 · Sat Sep 16 2023 01:34:46 GMT+0800 (China Standard Time)

Je pense qu'il faut mettre en place une rewrite rule http vers https. Le ven. 15 sept. 2023, 19:30, Stéphane Vogelsinger ***@***.***> a écrit :

…

Bonjour, Après migration, problème de blocages avec Firefox (notamment login) dû à des problèmes de "contenu mixte actif" & "requête multiorigines" [image: image] <https://user-images.githubusercontent.com/10651729/268350833-1c02bdbf-f358-4649-8a77-a15aab9d8108.png> Je n'ai fait aucun changement de configuration côté Apache. L'application de fonctionne correctement qu'en http. Ai-je râté quelque chose au niveau de la config ? Merci d'avance pour les pistes. — Reply to this email directly, view it on GitHub <#502>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AKJU4KA6XTYHODEPPEGR74TX2SGCVANCNFSM6AAAAAA42DZDYA> . You are receiving this because you are subscribed to this thread.Message ID: ***@***.***>

Stéphane Vogelsinger · Answer 2 · Sat Sep 16 2023 03:17:17 GMT+0800 (China Standard Time)

Je me suis peut-être mal exprimé. La bascule auto vers https est en place depuis le début, mais en https j'obtiens ce qui est contenu dans la capture et qui provoquent des dysfonctionnements (bloquage chargement styles et scripts).
Je suis donc pour le moment obligé de revenir en http pour utiliser Mercator.

Didier Barzin · Answer 3 · Sat Sep 16 2023 04:21:39 GMT+0800 (China Standard Time)

J'avais bien compris. Voici une explication plus complète :

Il doit également être possible de le faire plus simplement via la variable APP_URL du fichier .env

Stéphane Vogelsinger · Answer 4 · Sat Sep 16 2023 15:09:03 GMT+0800 (China Standard Time)

Je pense avoir presque "tout essayé" ... APP_URL sans résultat ... Je sèche. J'y reviendrai plus tard.
Merci pour les pistes.

Stéphane Vogelsinger · Answer 5 · Sat Sep 16 2023 16:38:06 GMT+0800 (China Standard Time)

J'ai refait une installation manuelle complète avec données de l'install sur vps. J'ai généré le certificat avec certbot ...

Je ne peux pas être le seul ;)

Didier Barzin · Answer 6 · Sat Sep 16 2023 17:00:46 GMT+0800 (China Standard Time)

Chez moi on a une rewrite rule.

Stéphane Vogelsinger · Answer 7 · Sat Sep 16 2023 17:52:01 GMT+0800 (China Standard Time)

A quelle niveau ? Config Apache ? .htaccess ?

Par défaut Let's Encrypt génère :

RewriteEngine on
RewriteCond %{SERVER_NAME} =mercator.mon-site.ovh
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]

Je n'ai jamais été confronté à ce problème. Si tu peux me partager les config. , ça devrait m'aider .

Didier Barzin · Answer 8 · Sat Sep 16 2023 23:57:55 GMT+0800 (China Standard Time)

On a un firewall applicatif qui gère cela.
Le module rewrite Apache est-il chargé ?

Stéphane Vogelsinger · Answer 9 · Sun Sep 17 2023 00:10:52 GMT+0800 (China Standard Time)

Le serveur qui héberge mercator héberge d'autres apps servies en https (par ex. Zabbix)

sudo apachectl -M
Loaded Modules:
...
 proxy_fcgi_module (shared)
...
 rewrite_module (shared)
 setenvif_module (shared)
 socache_shmcb_module (shared)
 ssl_module (shared)
 status_module (shared)

Didier Barzin · Answer 10 · Sun Sep 17 2023 14:55:22 GMT+0800 (China Standard Time)

Essaye de mettre dans le fichier .env :

APP_ENV=production

Stéphane Vogelsinger · Answer 11 · Sun Sep 17 2023 16:05:13 GMT+0800 (China Standard Time)

Après changement, purge et redémarrages divers, pas de changement.

Didier Barzin · Answer 12 · Sun Sep 17 2023 19:07:41 GMT+0800 (China Standard Time)

Une configuration a été ajoutée pour forcer http -> https lorsque APP_ENV=production.
Testé, cela fonctionne. La config Apache2 utilisée :

<VirtualHost *:80>
   ServerName mercator.mycompany.com
   Redirect permanent / https://mercator.mycompany.com/
</VirtualHost>

<VirtualHost _default_:443>
  ServerName mercator.mycompany.com
  DocumentRoot /var/www/mercator/public
  <Directory /var/www/mercator/public>
    AllowOverride All
    allow from all
    Options +Indexes
  </Directory>
  SSLEngine On
  SSLCertificateFile /etc/apache2/certs/mercator.mycompany.com.crt
  SSLCertificateKeyFile /etc/apache2/certs/mercator.mycompany.com.key 
</VirtualHost>

Stéphane Vogelsinger · Answer 13 · Sun Sep 17 2023 22:46:17 GMT+0800 (China Standard Time)

Merci pour le suivi.
Ça fonctionne mais je dois désactiver la protection "mixed content" de Firefox.

Didier Barzin · Answer 14 · Sun Sep 17 2023 23:37:57 GMT+0800 (China Standard Time)

Ce problème n'est pas présent lors de mes tests.
As-tu la dernière version du code ? Il a été modifié aujourd'hui.
As-tu positionné la variable APP_ENV=production dans le fichier .env ?

Stéphane Vogelsinger · Answer 15 · Mon Sep 18 2023 00:43:32 GMT+0800 (China Standard Time)

Oui. J'ai procédé à des installations de "zero" avec la dernière version (avec mes données comme avec les données de tests fournies sur le repository), sur deux serveurs distincts.

Je vais faire une réinstallation complète sur une VM (OS + apps) pour éliminer tout problème de configuration d'Apache ou autres.
Pour infos, je suis sur Debian 11 + apache 2.4 + php8.1-fpm .

Didier Barzin · Answer 16 · Mon Sep 18 2023 01:03:58 GMT+0800 (China Standard Time)

Commence par faire un git pull sur mercator. Le reste ne devrait pas avoir d'impact.

Stéphane Vogelsinger · Answer 17 · Mon Sep 18 2023 14:36:54 GMT+0800 (China Standard Time)

Effectivement, j'ai vu passé quelques nouvelles mises à jour ... retour à la normale.
Merci.