Allow list for WOPI requests

vgay · June 4, 2025, 8:28pm

What type of hardware are you using: Old laptop or computer
What YunoHost version are you running: 12.0
What app is this about: nextcloud office

Describe your issue

j’ai installé collabora online dans un sous-domaine office.mondomaine.fr et nextcloud dans mondomaine.fr. (avec nextcloud office)

Si je dans les paramètres de nextcloud office je laisse vide la zone Allow list for WOPI requests tout fonctionne hormis un avertissement de sécurité. Quoique je mette dans cette zone abouti à une erreur :
Échec du chargement du document

Hôte WOPI non autorisé. Veuillez essayer de nouveau plus tard et en faire part à votre administrateur si le problème persiste.

j’ai essayé :

mondomaine.fr
office.mondomaine.fr
mon ip publique /24

dans/etc/coolwsd/coolwsd.xml sous j’ai entre autres
https://mondomaine.fr

on voit clairement des erreur dans les log genre
juin 04 20:56:37 coolwsd[589]: wsd-00589-01700 2025-06-04 20:56:37.431589 +0200 [ websrv_poll ] ERR #23: CheckFileInfo failed for [%2Fnextcloud%2Findex.php%2Fapps%2Frichdocuments%2Fwopi%2Ffiles%2F880_oc9rcs6dyfw3], State::Unauthorized| wsd/RequestVettingStation.cpp:355
mais cela ne m’en dit pas plus

J’ai lu je ne sais combien de posts sans qu’il me soit clairement (à mes yeux) expliqué ce que je dois faire et une heure avec chatgpt n’y a rien changé

n.b. ma box est une livebox avec un dyndns à no-ip. Mon ip n’a toutefois pas encore changée depuis mon installation de Yunohost

Merci d’avance

Share relevant logs or error messages

juin 04 20:56:37 coolwsd[589]: wsd-00589-01700 2025-06-04 20:56:37.431589 +0200 [ websrv_poll ] ERR #23: CheckFileInfo failed for [%2Fnextcloud%2Findex.php%2Fapps%2Frichdocuments%2Fwopi%2Ffiles%2F880_oc9rcs6dyfw3], State::Unauthorized| wsd/RequestVettingStation.cpp:355

jarod5001 · June 4, 2025, 9:04pm

Essai avec 127.0.0.1 ou ::1

otm33 · June 4, 2025, 10:32pm

… et regarde dans “Nextcloud > Admin > journalisation” quelles sont les adresses dont les requêtes WOPI sont bloquées (car ne correspondant pas aux plages et/ou adresses que tu as renseignées).

vgay · June 5, 2025, 5:54am

Merci pour vos réponses.

l’adresse boucle locale ne fonctionne pas plus que les autres. Quand au journal je n’y trouve pas trace d’adresse ip. voici les derniers messages suite à une nième tentative

juin 05 07:47:22 coolwsd[22582]: wsd-22582-22649 2025-06-05 07:47:22.664328 +0200 [ websrv_poll ] ERR  #18: WOPI::CheckFileInfo failed for URI [https://vintherine.fr/nextcloud/index.php/apps/richdocuments/wopi/files/1032_oc9rcs6dyfw3?access_token=GXlEuC393e1RtG2558vgUS8ZMRXYmCN2&access_token_ttl=0]: 403 (Forbidden) Forbidden. Headers: Server: nginx / Date: Thu, 05 Jun 2025 05:47:22 GMT / Content-Type: application/json; charset=utf-8 / Content-Length: 2 / Connection: keep-alive / X-SSO-WAT: You've just been SSOed / Set-Cookie: oc9rcs6dyfw3=5nivhnqdibleb1ur87tqc9eo0n; path=/nextcloud; secure; HttpOnly; SameSite=Lax / X-Request-Id: yrwQdxcO1oK4cSvNTrLT / Cache-Control: no-cache, no-store, must-revalidate / Content-Security-Policy: upgrade-insecure-requests / Feature-Policy: autoplay 'none';camera 'none';fullscreen 'none';geolocation 'none';microphone 'none';payment 'none' / X-Robots-Tag: noindex, nofollow / X-Content-Type-Options: nosniff / X-XSS-Protection: 1; mode=block / X-Download-Options: noopen / X-Permitted-Cross-Domain-Policies: none / X-Frame-Options: SAMEORIGIN / Permissions-Policy: interest-cohort=() / Strict-Transport-Security: max-age=63072000; includeSubDomains; preload / Referrer-Policy: no-referrer        Body: [[]]| wsd/wopi/CheckFileInfo.cpp:107
juin 05 07:47:22 coolwsd[22582]: wsd-22582-22649 2025-06-05 07:47:22.664368 +0200 [ websrv_poll ] ERR  #18: Access denied to CheckFileInfo [https://vintherine.fr/nextcloud/index.php/apps/richdocuments/wopi/files/1032_oc9rcs6dyfw3?access_token=GXlEuC393e1RtG2558vgUS8ZMRXYmCN2&access_token_ttl=0]| wsd/wopi/CheckFileInfo.cpp:119
juin 05 07:47:22 coolwsd[22582]: wsd-22582-22649 2025-06-05 07:47:22.742562 +0200 [ websrv_poll ] ERR  #17: CheckFileInfo failed for [%2Fnextcloud%2Findex.php%2Fapps%2Frichdocuments%2Fwopi%2Ffiles%2F1032_oc9rcs6dyfw3], State::Unauthorized| wsd/RequestVettingStation.cpp:355
juin 05 07:47:23 coolwsd[22582]: wsd-22582-22649 2025-06-05 07:47:23.146941 +0200 [ websrv_poll ] ERR  #17: Read failed, have 8 buffered bytes (ECONNRESET: Connection reset by peer)| net/Socket.hpp:1462
juin 05 07:47:23 coolwsd[22582]: wsd-22582-22649 2025-06-05 07:47:23.147062 +0200 [ websrv_poll ] WRN  #17: Socket still open post onDisconnect(), forced shutdown.| net/Socket.hpp:1270

otm33 · June 5, 2025, 6:47am

Bonjour @vgay

Pourrais-tu nous dire lequel ?

Dans quelle section ? https://mondomaine.fr correspond à ton domaine mais ton serveur nextcloud se trouve à mondomaine.fr/nextcloud.

vgay · June 5, 2025, 7:14am

Le message d’avertissement :

Vous n’avez pas configuré la liste d’autorisation pour les requêtes WOPI. Sans ce paramètre, les utilisateurs peuvent télécharger des fichiers restreints via des requêtes WOPI sur le serveur Nextcloud.

la partie de etc/coolwsd/coolwsd.xml

<storage desc="Backend storage">
        <filesystem allow="false" />
        <wopi desc="Allow/deny wopi storage." allow="true">
            <host desc="Regex pattern of hostname to allow or deny." allow="true">https://mondomaine.fr</host>
            <host desc="Regex pattern of hostname to allow or deny." allow="true">10\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}</host>
            <host desc="Regex pattern of hostname to allow or deny." allow="true">172\.1[6789]\.[0-9]{1,3}\.[0-9]{1,3}</host>
            <host desc="Regex pattern of hostname to allow or deny." allow="true">172\.2[0-9]\.[0-9]{1,3}\.[0-9]{1,3}</host>
            <host desc="Regex pattern of hostname to allow or deny." allow="true">172\.3[01]\.[0-9]{1,3}\.[0-9]{1,3}</host>
            <host desc="Regex pattern of hostname to allow or deny." allow="true">192\.168\.[0-9]{1,3}\.[0-9]{1,3}</host>
            <host desc="Regex pattern of hostname to allow or deny." allow="false">192\.168\.1\.1</host>

j’ai essayé également mondomaine.fr/nextcloud sans succès

jarod5001 · June 5, 2025, 7:41am

Est ce que ton nextcloud est dans la liste des permissions visiteurs ?

vgay · June 5, 2025, 6:34pm

Oui : all_users, visitors

otm33 · June 5, 2025, 8:20pm

Sans trop de conviction -et j’imagine que tu as déjà essayé…-, à tester :

si pas déjà fait: déclarer l’ip + nom de domaine de collabora et de nextcloud dans /etc/hosts
déclarer l’ipv6 locale dans les hôtes pour les requêtes WOPI (puis tester l’ipv4 locale tant qu’on y est…)

M’est avis qu’il y a autre chose : cf erreur en lien avec le SSO :

Autre piste (mas peu probable) : une app qui interfère (comme onfficeonline, collabora CODE => il y a des avertissements à ce sujet sur la page de l’app Collabora dans yunohost)

Plus trop d’idées pour le moment.

jarod5001 · June 5, 2025, 9:56pm

As tu essayé de mettre nextcloud sur la racine d’un domaine ou sous domaine au lieu de /nextcloud ?