Liste der Anhänge anzeigen (Anzahl: 2)
Wird X-Frame-Options per Default durch Contao (4.9) gesetzt?
Hallo Forum,
ich musste heute einer fremden Website die Einbindung eines iframes auf meine Seite erlauben. Ich mache das bisher immer durch einen Eintrag in der .htaccess nach diesem Muster
Code:
Header always append Content-Security-Policy "frame-ancestors 'self' *.example.com"
Das funktioniert auch normalerweise aber heute nicht und als ich mit dem Entwickler der anderen Seite nach dem Grund forschte, sagte er mir, wir haben im Header noch diesen Eintrag:
Code:
X-Frame-Options: SAMEORIGIN
und deren Service will sichergehen, dass nur moderne Browser verwendet werden und es keine Kompatibilitätsprobleme geben soll. Ist dieser Header gesetzt, kann unsere Seite nicht eingebunden werden.
Ich war darüber etwas verwundert, weil ich den nicht bewusst gesetzt habe und dieser auch nicht in der default .htaccess von Contao 4.9 gesetzt wurde. Ich dachte zuerst, dass ist eine Frage des Hosters, der den Webserver vielleicht darunter mit entsprechenden "Basis-Direktiven" ausstattet und habe dort angefragt. Der Support sagte mir aber, dieser Header wird von ihren Direktiven nicht gesetzt und es müssen sich wohl um eine andere .htaccess oder ein php script handeln.
Ich wusste nicht genau wie ich das in meiner laufenden Umgebung am einfachsten hätte ermitteln können und habe deshalb, um sicher zu gehen, eine nackte C4.9 Installation durchgeführt und diese, nach dem Setup mit den allerminimalsten Einstellungen, zu einer simplen Ausgabe von "Hallo Welt!" bewegt.
Es gibt also keine zusätzlichen Erweiterungen oder irgendwelche Scripte, die durch externe Templates hineingekommen sein könnten.
Beim Check des Headers taucht nun tatsächlich wieder der Eintrag auf:
Anhang 24972
Hmm. Wo kommt der her? Angeblich nicht vom Hoster. Kann es sein, dass dieser Header per Default von Contao gesetzt wird? Und wenn ja, wie kann ich das ggf. verhindern?
Vielen, vielen Dank euch!