nathank
Juin 10, 2026, 3:14
1
Actuellement, je constate que cliquer sur le lien PDF lorsque l’aperçu PDF est actif tente de télécharger le fichier (ce qui n’est pas souhaité) au lieu de l’ouvrir dans un nouvel onglet.
Cela se produit dans le cadre d’un auto-hébergement simple (conteneur unique, sans CDN, sans S3, thème Horizon).
Ce problème a déjà été abordé ici :
david:
Ce problème devrait être résolu depuis SECURITY: Download allowlist for uploaded files · discourse/discourse@9c0642a · GitHub
Nous disposons désormais d’une logique centralisée pour déterminer quels fichiers doivent être affichés « en ligne ». Cela signifie que les fichiers PDF sont systématiquement affichés en ligne, tandis que certains types de fichiers moins sûrs sont systématiquement proposés en téléchargement. Ces modifications devraient fonctionner avec tous les types de stockage de fichiers (local et S3, avec ou sans CDN).
La raison pour laquelle cela pose problème est que les utilisateurs souhaitent souvent lire un PDF affiché en ligne dans la fenêtre entière, car l’iframe est très restrictive. Le téléchargement ajoute une étape inutilement gênante. De plus, un bouton de téléchargement est déjà présent dans la barre d’outils du visualiseur PDF dans l’iframe (du moins dans Chrome).
1 « J'aime »
Nous n’étions pas cohérents avec le type display selon que vous utilisiez S3 ou non. Cela devrait être corrigé par
main ← fix-inline-safe-uploads-local-store
opened 02:09PM - 10 Jun 26 UTC
Inline-safe uploads (images, PDFs, audio and video) served from the local file s… tore were sent with `Content-Disposition: attachment`, so clicking a PDF link downloaded the file instead of opening it in the browser. This was inconsistent with the S3 store, which already serves these files inline via `FileStore::S3Store.content_disposition_for`, and it left simple self-hosted (single-container, no S3/CDN) sites unable to open PDFs inline.
The cause was in `UploadsController#send_file_local_upload`: it only set the disposition to `attachment` for unsafe types, and to `inline` when `?inline=1` was passed, leaving it unset otherwise. Rails' `send_file` defaults an unset disposition to `attachment`, so inline-safe files fell through to a download.
This serves inline-safe files with `Content-Disposition: inline` by default, mirroring the S3 store. The `attachment` disposition and the `sandbox;` Content-Security-Policy header are now scoped to the files that are actually forced to download: unsafe types (HTML, SVG, XML, ...) and explicit downloads (`?dl=1`). The redundant `params[:inline]` branch is removed, since inline-safe files are now served inline by default.
(cc @david )
Le fait qu’un clic sur un fichier s’ouvre automatiquement dans un autre onglet relève davantage d’une question #produit .
1 « J'aime »