[M2] Rendu Canvas via WebKitWebView sandboxé (SF-M2-07, ST-M2-04) #27

New issue

Closed

opened 2026-04-06 01:35:17 +00:00 by charles · 0 comments

charles commented

2026-04-06 01:35:17 +00:00

Owner

Contexte

Quand un agent envoie un Canvas (HTML interactif), Fractal+ doit l'afficher dans un WebView intégré au lieu d'un simple lien (SF-M2-07). La sécurité est critique : sandbox strict, pas de réseau, pas de stockage (ST-M2-04).

Critères d'acceptation

CanvasRenderer basé sur webkit2gtk::WebView avec sandbox strict
CSP injectée : default-src 'self'; script-src 'unsafe-inline' — pas de connect-src, pas de fetch externe
allow_file_access_from_file_urls = false, allow_universal_access_from_file_urls = false
Taille max du WebView : 640×480 par défaut (configurable dans config.toml)
Protocole postMessage hôte ↔ canvas : CanvasToHost::Resize, HostToCanvas::ThemeChanged
Aucun accès au DOM parent depuis le canvas
Fallback texte si webkit2gtk non disponible ou sandbox échoue

Notes techniques

pub struct CanvasRenderer {
    webview: webkit2gtk::WebView,
}

Dépendance : webkit2gtk dans le Flatpak manifest
Risque de sécurité principal : injection HTML depuis un agent malveillant — le CSP est la première ligne de défense
Dépend de #20 (AgentDetector pour identifier la source)

## Contexte Quand un agent envoie un Canvas (HTML interactif), Fractal+ doit l'afficher dans un WebView intégré au lieu d'un simple lien (SF-M2-07). La sécurité est critique : sandbox strict, pas de réseau, pas de stockage (ST-M2-04). ## Critères d'acceptation - [ ] `CanvasRenderer` basé sur `webkit2gtk::WebView` avec sandbox strict - [ ] CSP injectée : `default-src 'self'; script-src 'unsafe-inline'` — pas de `connect-src`, pas de fetch externe - [ ] `allow_file_access_from_file_urls = false`, `allow_universal_access_from_file_urls = false` - [ ] Taille max du WebView : `640×480` par défaut (configurable dans `config.toml`) - [ ] Protocole `postMessage` hôte ↔ canvas : `CanvasToHost::Resize`, `HostToCanvas::ThemeChanged` - [ ] Aucun accès au DOM parent depuis le canvas - [ ] Fallback texte si `webkit2gtk` non disponible ou sandbox échoue ## Notes techniques ```rust pub struct CanvasRenderer { webview: webkit2gtk::WebView, } ``` - Dépendance : `webkit2gtk` dans le Flatpak manifest - Risque de sécurité principal : injection HTML depuis un agent malveillant — le CSP est la première ligne de défense - Dépend de #20 (AgentDetector pour identifier la source)

charles added the

priority:high

module:M2-ai

type:feature

labels

2026-04-06 01:35:17 +00:00

charles referenced this issue

2026-04-06 01:35:31 +00:00

[M3] Widget fx-chart : graphiques natifs via crate plotters + GtkDrawingArea #30

charles referenced this issue

2026-04-06 01:35:38 +00:00

[M3] Widgets fx-quiz et fx-poll-rich interactifs #32