Para Desenvolvedores

CrossSiteRequestFilter vs <meta property="og:image" content="thumbnail.png">

Resolvido

Bom dia,

 

No LumisPortal 10.3.1 as thumbnails dos compartilhamentos por facebook e whatsapp não aparecem por conta do filtro web.xml > web-app > CrossSiteRequestFilter, que não permite acesso com origem nula. O portal funciona no momento sem cache no servidor web à frente do servidor de aplicação. Existe alguma outra forma de solução além de excluir o caminho dos arquivos (/data/) da url-pattern? Há alguma implicação grave de segurança relacionada ao funcionamento do Lumis pela qual devo me preocupar?

Por Ivan Ikekame de Oliveira

Em 11/06/19 08:11

Acompanhar pergunta

2 resposta(s):

Ordenar por:

Estamos enfrentando o mesmo problema. Será que tem alguma solução para esse problema?

Por Kauã Barbosa da Silva

Em 11/06/19 08:15

Bom dia,
Esse filtro pode ser configurado em Configurações > Frameworks > Segurança > Requisições cross-site.

Você pode, por exemplo, fazer a seguinte configuração:

  • Padrão do método da requisição: ^(GET|HEAD|OPTIONS)$
  • Padrão do caminho da requisição: ^/data/.*
  • Padrão da origem da requisição: .*

Dessa forma, o portal não irá bloquear requisições GET, HEAD e OPTIONS de recursos dentro de /data/ (vindas de qualquer origem).

Para entender bem esse filtro e as implicaçõeso de segurança sobre ele, recomendo ler o artigo da OWASP sobre CSRF e ler a documentação do mesmo (link do início da resposta).

PS: A configuração passada nessa resposta é somente um exemplo e deve ser validada e adequada de acordo com as necessidades e critérios de segurança da solução, não devendo ser assumida como a melhor configuração para a solução.

Att.

Por Thiago Berne

Em 11/06/19 11:13

Entrar

Interaja com a comunidade e tenha acesso a conteúdos exclusivos.

Houve algum erro ao acessar o banco de dados. Tente novamente mais tarde.