[fait] Deux suggestions

[bohwaz]

merci pour le site

deux petites suggestions aux dévs :

1. Ajouter l'entête "Access-Control-Allow-Headers: *" aux réponses de l'API, ce qui me permettrait par exemple sur https://map.kd2.org/ de charger directement sur la carte (via du GPX) les refuges sur les cartes (pour l'instant j'ai juste un bouton qui télécharge le GPX qu'il faut ensuite renvoyer pour les afficher sur la carte)
2. rendre les icônes des cartes (refuges, lacs, etc.) cliquables avec le bouton du milieu pour ouvrir le point dans un nouvel onglet, ça serait pratique pour ouvrir plusieurs points d'un coup

Merci

Edit : idem pour https://maps.refuges.info/ pour le header, ça permettrait de télécharger les tuiles sur map.kd2.org

[leosw]

Salut,

Concernant le premier point je ne comprends pas à quoi correspond ce header : on retourne déjà le header access-control-allow-origin et je crois bien que ça suffit.

Léo

[sly]

Un peu le même commentaire que léo, j'ai cherché un peu ce "Access-Control-Allow-Headers"
et je suis tombé sur ça :
https://developer.mozilla.org/en-US/doc ... ow-Headers

je dois humblement admettre que... je n'ai pas compris à quoi ça servait, alors je n'ai pas répondu tout de suite pour laisser la place à ceux qui sauraient mieux que moi.

2. rendre les icônes des cartes (refuges, lacs, etc.) cliquables avec le bouton du milieu pour ouvrir le point dans un nouvel onglet, ça serait pratique pour ouvrir plusieurs points d'un coup

Je laisse parler dominique notre expert en carte, je sais juste qu'il fut un temps, un message à gauche disait "ctrl+clic => ouvrir dans un nouvel onglet", cette info n'est plus montrée, mais reste valable pour ouvrir une fiche dans un autre onglet.

Edit : idem pour https://maps.refuges.info/ pour le header, ça permettrait de télécharger les tuiles sur map.kd2.org

Je constate que si je prend dans le sélecteur "Refuges.info (EU Huts)" la carte de maps.refuges.info s'affiche correctement et que cela ne passe pas par un proxy, j'en déduis donc que le manque du header ne gène pas pour ce cas ?

[Dominique]

J'avais laissé la question aux spécialistes de l'API

La demande du Allow-Headers ne m'étonne pas : ce header existe depuis Chrome 4 & I.E.10 et, même si son absence n'a jamais gêné personne jusqu'à maintenant, il est bien spécifié qu'il est nécessaire pour exprimer Allow-Origin.

Comme les blocages pour "fin de tolérance à des règles de sécurité" pleuvent en ce moment et qu'ils dépendent de beaucoup de paramètres (Ex: le type de la page : strict ou pas), ça ne m'étonne pas que bohwaz soit tombé dessus, ce qui ne va pas manquer de nous arriver aussi (ou un autre utilisateur de notre API).

Je ne vois aucun inconvénient (et ça serait même logique d'un point de vue spec) à ajouter Access-Control-Allow-Headers: * à chaque fois qu'on envoie Access-Control-Allow-Origin: *

[Dominique]

2. rendre les icônes des cartes (refuges, lacs, etc.) cliquables avec le bouton du milieu pour ouvrir le point dans un nouvel onglet, ça serait pratique pour ouvrir plusieurs points d'un coup

Je laisse parler dominique notre expert en carte, je sais juste qu'il fut un temps, un message à gauche disait "ctrl+clic => ouvrir dans un nouvel onglet", cette info n'est plus montrée, mais reste valable pour ouvrir une fiche dans un autre onglet.

Tout juste : les icônes et labels des cartes sont des éléments de type "canvas" pour lesquels il n'est pas possible de programmer d'action sur un click droit (du moins sans gros impacts), ou bouton du milieu, ... comme on en a pour un élément "dom" (le texte de la page)
En conséquence, j'ai programmé le ctrl+click pour créer un nouvel onglet.
Ce qui est dommage, c'est effectivement qu'il n'y ait plus de message

Je regarde si je peux faire mieux

Note : le bouton du milieu de la souris est une notion purement windows : autant que je sache, il n'y a qu'un bouton sur un iMac et pas de souris (ni de touche ctrl) sur un smartphone

[sly]

J'avais laissé la question aux spécialistes de l'API

Disons que c'est finalement plus une question de javascript, de navigateur et très régulièrement, de carte.

Les codeurs d'api savent que s'il veulent limiter l'accès à leur API, ils ne le font pas avec des headers qui disent "ne le faites pas, c'est pas bien" mais avec des tokens et des authentifications.
Bref, je te fais confiance, si ça fait partie de la norme pour autoriser des appels externes par un navigateur, alors go !

Je viens de l'ajouter (bigre, c'était copié collé dans 9 fichiers, j'en profite pour factoriser)

[Dominique]

Les codeurs d'api savent que s'il veulent limiter l'accès à leur API, ils ne le font pas avec des headers qui disent "ne le faites pas, c'est pas bien" mais avec des tokens et des authentifications.

Je pense que ce n'est pas fait pour protéger les API mais pour limiter les possibilités de tracking cachés et/ou failles de sécurité...

[bohwaz]

@sly : oui la carte s'affiche, mais renvoyer ce header permet au navigateur de récupérer les tuiles sans avoir d'action utilisateur.

La fonctionnalité de téléchargement MBTiles permet de générer un fichier contenant plusieurs niveaux de zoom d'une carte pour utilisation hors ligne, très pratique pour la rando (c'est limité à 3000 tuiles) : on met le fichier dans le smartphone et hop

Niveau sécurité oui grosso modo il ne faut pas mettre ce header sur un site qui permettrait par exemple d'envoyer un formulaire de mot de passe, car ça voudrait dire qu'un site malicieux pourrait faire des requêtes vers ce formulaire directement depuis le navigateur. Mais pour un serveur de tuiles ou une API publique ça fait sens de permettre les navigateurs de faire des requêtes

@Dominique : pour le ctrl+clic super c'est cool aussi

Sinon mettre le canvas dans un <a> ne réglerait pas le souci ? Comme ça on pourrait gérer tous les cas : ctrl+clic, clic du milieu, et appui long sur mobile, comme sur un vrai lien Après peut-être que c'est pas possible ?

Et je suis sur Linux où le bouton du milieu occupe une place prépondérante vu que c'est aussi ce qui sert à faire des copier/coller

[bohwaz]

Et merci pour les modifications et l'astuce du ctrl+clic

[sly]

Edit : idem pour https://maps.refuges.info/ pour le header, ça permettrait de télécharger les tuiles sur map.kd2.org

Voilà qui est fait également.