Erro dashboard

[Tranqu1lo]

Tenho este erro
This session has encountered an interruption, and some controls may not work as intended. If you are the developer of this app, please check that the guest token is being generated correctly.
Se tiver login noutro separador mostra o grafico se tiver sem login ele dá o aviso de cima.
É seguro fazer WTF_CSRF_ENABLED = False ?
Ambos os sites têm https

[dosubot[bot]]

Este erro é exactamente o mesmo problema que foi discutido nesta thread recente — o dashboard embutido não consegue obter o CSRF token porque os cookies de sessão não estão a chegar ao Superset no contexto do iframe.

Não é recomendado usar WTF_CSRF_ENABLED = False em produção — isso desativa a proteção CSRF para todas as rotas, o que expõe o Superset a ataques CSRF [1].

Como ambos os sites já têm HTTPS, a solução correcta é garantir que tem todas estas configurações no superset_config.py:

FEATURE_FLAGS = {"EMBEDDED_SUPERSET": True}

# Cookies de sessão para cross-origin (iframe)
SESSION_COOKIE_SAMESITE = "None"
SESSION_COOKIE_SECURE = True      # Obrigatório com SameSite=None
SESSION_COOKIE_HTTPONLY = True

# CORS — substituir pelo domínio real do seu site
ENABLE_CORS = True
CORS_OPTIONS = {
    "origins": ["https://seu-site.com"],
    "supports_credentials": True,
}

# CSP — permitir o iframe
TALISMAN_ENABLED = True
TALISMAN_CONFIG = {
    "content_security_policy": {
        "frame-ancestors": ["'self'", "https://seu-site.com"]
    }
}

# Se estiver atrás de proxy reverso (Nginx, etc.)
ENABLE_PROXY_FIX = True

[2]

Se o erro persistir apenas no endpoint do guest token, pode isentar apenas esse endpoint em vez de desativar o CSRF globalmente:

WTF_CSRF_EXEMPT_LIST = ["/api/v1/security/guest_token"]

[1]

Confirme também que no backend que gera o guest token, está a buscar o CSRF token primeiro via /api/v1/security/csrf_token/ e a enviá-lo no header X-CSRFToken nas chamadas POST [2]. Após alterar a configuração, reinicie o Superset.

To reply, just mention @dosu.

---

Docs are dead. Just use Dosu.

[Tranqu1lo]

O dashboard funciona se tiver login noutro separador caso contrario dá erro

[dosubot[bot]]

O comportamento que descreve — funcionar com login noutro separador mas falhar sem login — é o sintoma clássico de que o dashboard embutido está a usar a sessão do browser em vez do guest token [1].

O que acontece: quando está com login noutro separador, o browser já tem um cookie de sessão válido e envia-o ao iframe. Sem esse login, os cookies de sessão não existem ou não estão a ser transmitidos ao iframe, e o guest token sozinho não consegue completar a autenticação porque o Superset precisa de cookies de sessão como mecanismo de transporte mesmo com guest tokens [2].

A causa mais provável é que os cookies de sessão não estão correctamente configurados para cross-origin. Verifique estas configurações no superset_config.py:

SESSION_COOKIE_SAMESITE = "None"
SESSION_COOKIE_SECURE = True       # Tem de ser True explícito, não USE_HTTPS
SESSION_COOKIE_HTTPONLY = True

ENABLE_CORS = True
CORS_OPTIONS = {
    "origins": ["https://seu-site.com"],
    "supports_credentials": True,
}

TALISMAN_ENABLED = True
TALISMAN_CONFIG = {
    "content_security_policy": {
        "frame-ancestors": ["'self'", "https://seu-site.com"]
    }
}

# Se estiver atrás de proxy reverso
ENABLE_PROXY_FIX = True

[1]

Pontos críticos a confirmar:

• SESSION_COOKIE_SECURE deve estar explicitamente como True — não depender de variáveis como USE_HTTPS [3]
• Os origins no CORS devem ter o domínio exacto do site que faz o embed
• Após alterar a configuração, reiniciar o Superset

Se os cookies estiverem correctamente configurados e o erro persistir, o problema pode estar no fluxo do seu backend ao gerar o guest token — deve buscar o CSRF token via /api/v1/security/csrf_token/ e incluí-lo no header X-CSRFToken nas chamadas POST [1].

To reply, just mention @dosu.

---

Share context across your team and agents. Try Dosu.