Safari 11.1 : refus d'afficher les PDF de l'AFT

U

ungars

Membre actif
27 Mai 2007
242
16
Bonjour

le site web de l'AFT fait réagir de manière agressive le téléchargement des PDF de l'AFT, pour cause de mauvaise configuration de leur serveur :

Depuis https://www.aft.gouv.fr/fr/node/12201, impossible de visualiser un PDF (macOS High Sierra et Safari 11.1), il y a ces erreurs :

Bloc de code: 
[Error] [Report Only] Refused to apply a stylesheet because its hash, its nonce, or 'unsafe-inline' appears in neither the style-src directive nor the default-src directive of the Content Security Policy. (367_Bulletin mensuel décembre 2020.pdf, line 0)

[Error] Refused to load https://www.aft.gouv.fr/files/medias-aft/7_Publications/7.2_BM/367_Bulletin mensuel décembre 2020.pdf because it appears in neither the object-src directive nor the default-src directive of the Content Security Policy.

Pire à l'affichage de la page pour l'URL au début, il y a ceci :

Bloc de code: 
[Error] [Report Only] Refused to apply a stylesheet because its hash, its nonce, or 'unsafe-inline' appears in neither the style-src directive nor the default-src directive of the Content Security Policy. (12201, line 13)

[Error] [Report Only] Refused to execute a script because its hash, its nonce, or 'unsafe-inline' appears in neither the script-src directive nor the default-src directive of the Content Security Policy. (12201, line 343)

[Error] [Report Only] Refused to load https://logs1187.xiti.com/hit.xiti?s=591759&idclient=16094312535981300595-NO&s2=26&p=publications::bulletins_mensuels&vrn=1&ac=&at=&lng=fr-FR&idp=1714133713341&jv=1&re=1563x574&vtag=4.7.0&hl=17x14x13&r=4096x2304x24x24&rn=1609431253601&ref= because it appears in neither the img-src directive nor the default-src directive of the Content Security Policy.

[Error] [Report Only] Refused to load https://www.googletagmanager.com/gtag/js?id=UA-28315037-1 because it appears in neither the script-src directive nor the default-src directive of the Content Security Policy.

[Error] Failed to load resource: the server responded with a status of 404 (Not Found) (fr_Vl9iA5x0GE099xtfmyFna3mFxKfLBTkbkKlzypGE8aE.js, line 0)

[Error] Did not load script at 'https://www.aft.gouv.fr/files/languages/fr_Vl9iA5x0GE099xtfmyFna3mFxKfLBTkbkKlzypGE8aE.js?qlrebc' because non script MIME types are not allowed when 'X-Content-Type: nosniff' is given.

[Error] [Report Only] Refused to load https://www.googletagmanager.com/gtag/js?id=UA-28315037-1 because it appears in neither the script-src directive nor the default-src directive of the Content Security Policy.

[Error] [Report Only] Refused to execute a script because its hash, its nonce, or 'unsafe-inline' appears in neither the script-src directive nor the default-src directive of the Content Security Policy. (12201, line 408)

[Error] [Report Only] Refused to load https://www.google-analytics.com/analytics.js because it appears in neither the script-src directive nor the default-src directive of the Content Security Policy.

[Error] [Report Only] Refused to connect to https://www.google-analytics.com/j/collect?v=1&_v=j87&a=359352387&t=pageview&_s=1&dl=https://www.aft.gouv.fr/fr/node/12201&ul=fr-fr&de=UTF-8&dt=Bulletins mensuels 2020 | Agence France Trésor&sd=24-bit&sr=2048x1152&vp=1548x574&je=1&_u=IEBAAUABAAAAAC~&jid=2088810797&gjid=1310598254&cid=1231387989.1609431254&tid=UA-28315037-1&_gid=531348976.1609431254&_r=1&gtm=2oubu0&z=428376486 because it appears in neither the connect-src directive nor the default-src directive of the Content Security Policy.

[Error] [Report Only] Refused to connect to https://stats.g.doubleclick.net/j/collect?t=dc&aip=1&_r=3&v=1&_v=j87&tid=UA-28315037-1&cid=1231387989.1609431254&jid=2088810797&gjid=1310598254&_gid=531348976.1609431254&_u=IEBAAUAAAAAAAC~&z=1140178691 because it appears in neither the connect-src directive nor the default-src directive of the Content Security Policy.

Avec Firefox, c'est OK, et on peut néanmoins télécharger le PDF avec Safari.
Important : je n'utilise pas de plug-in. Et j'ai bien coché "Ouvrir automatiquement les fichiers fiables"...
 
Hello,

Sous Safari 14 ça ne fonctionne pas non plus.
Il faut télécharger le fichier en faisant un clic droit dans la liste.
 
Oui, même "Enregistrer sous..." fonctionne quand on est sur la page noire. C'est "juste" un problème d'affichage qui est refusé pour les nombreuses raisons énumérées plus haut (et que je suis bien incapable d'analyser plus finement)...
 
  • J’aime
Réactions: MrTom
ungars a dit:
Depuis https://www.aft.gouv.fr/fr/node/12201, impossible de visualiser un PDF (macOS High Sierra et Safari 11.1), il y a ces erreurs :
Cliquez pour agrandir...
Sur le fond, avec Safari il faut faire un clic droit sur le fichier et sélectionner Enregistré le fichier lié sous...

Capture-002.jpg Capture-003.jpg Capture-004.jpg

...et...

Capture-001.jpg

...allez savoir pourquoi on ne peut pas en faire un affichage direct dans un onglet est une autre histoire !
 
Une tentative d'explication là :
stackoverflow.com

"inline-style"-Error with Content Security Policy and Javascript

I turned on Content Security Policy on my server with this command in my Apache2-configuration: Header set Content-Security-Policy-Report-Only "default-src 'self'" (I set it to ...-Report-Only to...
stackoverflow.com stackoverflow.com
J'avoue ne pas comprendre : on a une page HTML de l'AFT avec des liens vers des PDF, donc une chose basique (pas BASIC lol)...Ben non ! C'est bien plus complexe, car on un élément CSS "::before" le fameux ">", voir https://developer.mozilla.org/fr/docs/Web/CSS/::before : l'URL ne fonctionne pas avec SAFARI (golo) mais bien avec FireFox. Je ne serais pas étonné que le problème viennent aussi de là. Enfin bref, c'est le boxon avec Javascript et les CSS, sur le Web. Quand je vois les mises en page foireuse (et j'ose même pas parler d'avec mon iPhone 3GS...), je me dis que les concepteurs de sites web ont raté quelque chose...
Ah et aussi il manque ce fichier CSS : https://www.aft.gouv.fr/files/css/css_AbpHGcgLb-kRsJGnwFEktk7uzpZOCcBY74-YBdrKVGs.css (quel nom à la con..., sauf s'il est généré à la volée, pour tracer les adresses IP...).
Vraiment un super site web. Les CSS et le Javascript y sont complètement hallucinants...
 
Dernière édition par un modérateur:
ungars a dit:
Une tentative d'explication là :
Cliquez pour agrandir...
Je posais juste la question pourquoi na pas mettre à jour safari et utiliser une ancienne version (qui n'a plus de MAJ depuis 2ans)? (alors que High Sierra est compatible avec la version 13 qui était encore la dernière version dispo en septembre)
Même si dans ce cas là ça ne change rien au problème.
ungars a dit:
Et j'ai bien coché "Ouvrir automatiquement les fichiers fiables"...
Cliquez pour agrandir...
Je te conseils de désactiver cette fonction.
 
ungars a dit:
le site web de l'AFT fait réagir de manière agressive le téléchargement des PDF de l'AFT, pour cause de mauvaise configuration de leur serveur :

Depuis https://www.aft.gouv.fr/fr/node/12201, impossible de visualiser un PDF (macOS High Sierra et Safari 11.1), il y a ces erreurs :

Bloc de code: 
[Error] [Report Only] Refused to apply a stylesheet because its hash, its nonce, or 'unsafe-inline' appears in neither the style-src directive nor the default-src directive of the Content Security Policy. (367_Bulletin mensuel décembre 2020.pdf, line 0)

Pire à l'affichage de la page pour l'URL au début, il y a ceci :

Bloc de code: 
[Error] [Report Only] Refused to apply a stylesheet because its hash, its nonce, or 'unsafe-inline' appears in neither the style-src directive nor the default-src directive of the Content Security Policy. (12201, line 13)
Cliquez pour agrandir...

---- Le français n'est pas la meilleure partie de moi, alors désolé pour google translate ----
1. Vous pouvez ignorer complètement ces erreurs, elles se réfèrent au mode RAPPORT UNIQUEMENT de la politique de sécurité du contenu (désolé, c'est l'anglais, la politique de sécurité du contenu protège les visiteurs contre l'usurpation du contenu des pages Web), c'est-à-dire qu'elles ne bloquent rien.

2. Le serveur est en effet mal configuré. Comme vous pouvez le voir sur le titre et la console développeur (indiqués en vert sur l'écran d'impression ci-dessous), la page https://www.aft.gouv.fr/fr/node/12201 renvoie un code 404 Not Found, et en même temps, elle renvoie le contenu. Le navigateur a le droit de ne pas afficher de telles pages. Par conséquent, c'est un péché d'exiger de Safari qu'il télécharge correctement les fichiers sur ces pages.
Bien que, oui, Safari soit spécial. Les gens installent Chrome et Firefox pour résoudre des problèmes similaires de téléchargement de PDF Safari.

De plus, le serveur renvoie 2 Content-Security-Policy (marqué en rouge dans l'écran d'impression ci-dessous). Le second (Content-Security-Policy-Report-Only) est mal configuré (il ne peut pas envoyer de rapports sur les violations, car il ne spécifie pas où les envoyer (La directive report-uri n'est pas spécifié). C'est elle qui jonche la console du navigateur.

Par conséquent, il doit d'abord corriger l'erreur de serveur 404 Not Found, puis nous pouvons rechercher ce qui ne va pas avec Safari.


---- English version ----
1. You can completely ignore these errors, they refer to the REPORT ONLY mode of Content Security Policy (Content Security Policy protects visitors from spoofing web pages content), that is, they do not block anything.

2. The server is indeed configured incorrectly. As you can see from the title and developer console (marked in green on the print screen below), the page https://www.aft.gouv.fr/fr/node/12201 returns a 404 Not Found code, and at the same time, it returns the content. The browser has every right not to display such pages. Therefore, it is a sin to require Safari to correctly download files on such pages.
Although, yes, Safari is special. People install Chrome and Firefox to solve similar Safari PDF download problems.

Additionally, the server returns 2 Content-Security-Policy (marked in red in the print screen below). The second (Content-Security-Policy-Report-Only) is configured incorrectly (it cannot send reports on violations, because it does not specify where to send them (report-uri directive is not specified). It is she who litters the browser console.

Therefore, first it need to fix the 404 Not Found server error, and then we can investigate what is wrong with Safari.

fr.jpg
 

Sujets similaires

H
UI scripting avec python
Réponses
0
Affichages
1K
Développement Mac
hugome
H
L
Script pour trie photos (dans différents dossier selon date de création)
Réponses
10
Affichages
3K
Développement Mac
zeltron54
zeltron54
M
Problème au lancement de Safari
Réponses
5
Affichages
2K
Web et e-mail
Locke
Locke
Arcadia
script changement de langue et de clavier
Réponses
2
Affichages
2K
Raccourcis et automatisation
baron
B
S
Extinction iMac (24 pouces, début 2009)
Réponses
6
Affichages
1K
Mac
esimport
esimport
Haut Bas