É o mesmo que o pessoal do Django faz há bastante tempo quando são
obrigados a colocar {% csrf_token %} dentro das tags <form> de seus
templates, ou a setar um parâmetro no cabeçalho de um ajax.Além dessas 2 maneiras, o plone.protect permite a passagem do token como parâmetro GET ou POST, ou seja, você pode modificar as URLs solicitadas pela sua aplicação assim: - https://github.com/plone/plone.app.content/commit/2f40444a65df0dd81dc52265580dc4510c6afa8e []s Davi Em 7 de outubro de 2015 12:33, Davi Lima <davili...@gmail.com> escreveu: > Oi, Alexandre. > > Nesse caso sugiro deve abrir a issue em > https://github.com/collective/Products.CAS4PAS/issues/new > > É necessária a adaptação de código de alguns plugins para eles passarem um > token no request confirmando a autenticidade da solicitação. Plugins que > lidam com AJAX também precisam desse ajuste. > > Mês passado a própria tela de Folder Contents do Plone 5 Beta estava dando > esse erro, ou seja, é algo realmente novo para todos nós, porém uma vez > implementado, eleva ainda mais o patamar de segurança do Plone (nesse caso, > contra ataques CRSF). > > Abs, > Davi > > Em 7 de outubro de 2015 11:47, Alexandre Marinho <lyrale...@gmail.com> > escreveu: > >> Olá Hector, >> >> Não é necessariamente um problema do Plone.... pelo o que investiguei a >> versão mais recente do plone.protect (que é exigida pelo hotfix) tem >> proteção embutida contra ataques CSRF. Essa proteção considera a >> manipulação da session como um dos parâmetros que determinam se esta >> acontecendo um ataque CSRF. O usuário é redirecionado para uma página onde >> ele é alertado que pode estar sendo vítima de um ataque, com um botão caso >> queira continuar assim mesmo. >> >> Acontece que alguns plugins PAS (Pluggable Authentication Service) >> manipulam a session para poder autenticar o usuário usando outra fonte. No >> meu caso utilizo o Products.CAS4PAS e quando o plugin esta ativado >> praticamente todas as páginas do portal pedem confirmação antes de serem >> acessadas. >> >> Já havia percebido esse problema ao tentar usar o Plone 5 com o CAS4PAS. >> >> -- >> Alexandre Marinho >> http://almarinho.com.br >> >> Em 7 de outubro de 2015 11:12, Hector Velarde < >> hec...@simplesconsultoria.com.br> escreveu: >> >>> On 10/07/2015 10:53 AM, Alexandre Marinho wrote: >>> >>>> Quem usa algum plugin PAS que faça manipulações na session vai ter >>>> problemas com esse hotfix! >>>> >>>> O usuário é constantemente redirecionado pra uma página de confirmação. >>>> >>> >>> HV> bom dia, Alexandre; pode nos dar mais detalhes? >>> >>> você já abriu um chamado no issue tracker do Plone descrevendo o >>> problema? >>> >>> https://github.com/plone/Products.CMFPlone/issues >>> >>> atenciosamente, >>> -- >>> Héctor Velarde >>> Simples Consultoria >>> >>> -- >>> Comunidade Plone no Governo >>> Site: http://www.softwarelivre.gov.br/plone >>> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr >>> Histórico: >>> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br >>> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br >>> >> >> >> -- >> Comunidade Plone no Governo >> Site: http://www.softwarelivre.gov.br/plone >> Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr >> Histórico: >> http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br >> Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br >> > >
-- Comunidade Plone no Governo Site: http://www.softwarelivre.gov.br/plone Wiki: http://colab.interlegis.leg.br/wiki/PloneGovBr Histórico: http://colab.interlegis.leg.br/search/?type=thread&order=latest&list=plonegov-br Lista: https://listas.interlegis.gov.br/mailman/listinfo/plonegov-br
