Electron : Origine incorrecte transmise au gestionnaire de demandes d’autorisation pour les requêtes iframe

### Impact Lorsqu’un iframe demande les autorisations `fullscreen`, `pointerLock`, `keyboardLock`, `openExternal` ou `media`, l’origine transmise à `session.setPermissionRequestHandler()` était l’origine de la page de niveau supérieur plutôt que l’origine de l’iframe demandeur. Les applications qui accordent des autorisations en fonction du paramètre d’origine ou de `webContents.getURL()` peuvent par inadvertance accorder des autorisations à du contenu tiers intégré. L’URL de demande correcte reste disponible via `details.requestingUrl`. Les applications qui vérifient déjà `details.requestingUrl` ne sont pas affectées. ### Solutions de contournement Dans votre `setPermissionRequestHandler`, inspectez `details.requestingUrl` plutôt que le paramètre d’origine ou `webContents.getURL()` lorsque vous décidez d’accorder les autorisations `fullscreen`, `pointerLock`, `keyboardLock`, `openExternal` ou `media`. ### Versions corrigées * `41.0.0` * `40.8.1` * `39.8.1` * `38.8.6` ### Pour plus d’informations Si vous avez des questions ou des commentaires concernant cet avis, veuillez envoyer un e-mail à [security@electronjs.org](mailto:security@electronjs.org)