Druckbare Version
Hallo,
ich möchte einer "Fremddomain" erlauben, meine Seite in einem iframe darzustellen.
Ich habe nun schon viel über CORS, Content-Security-Policy, etc. gelesen.
Leider ist mir nach wie vor nicht klar, was ich alles konfigurieren muss.
Kann mir jemand erklären, was genau ich in meiner Contao-Konfiguration einstellen und ggf. in der .htaccess hinterlegen muss?
Danke & Grüße
Kann man das überhaupt? Verhindern, dass eine andere Seite Deine einbindet?
Danke. Den Artikel hatte ich auch schon gefunden. Da gibt es viele Ideen und "Ansätze".
Aber ich hatte gehofft, dass es eine "offizielle" oder finale Lösung gibt, die man verlässlich und ohne Risiko umsetzten kann ...
- - - Aktualisiert - - -
Ich will es nicht "verhindern" (Dafür sorgen schon die Browser), sondern erlauben...Zitat:
Zitat von amateur
Die Lösung von Spooky ist die "offizielle" Lösung. Verhindert wird die Einbettung durch das Nelmio Security Bundle und über entsprechende Anpassungen in der config/config.yml kann man es eben ändern ;)Zitat:
Zitat von cont772
Code:nelmio_security:
clickjacking:
paths:
'^/.*': 'ALLOW-FROM https://www.example.org'
Zitat:
Zitat von BennyBorn
https://developer.mozilla.org/en-US/...tiredLocale=de
Gibt es eine zuverlässige und zeitgemässe Lösung dafür?Zitat:
ALLOW-FROM=url
This is an obsolete directive that no longer works in modern browsers
Ich hatte das Problem neulich auch und habe es ebenfalls über die `config/config.yml` gelöst:
Viele GrüßeCode:nelmio_security:
csp:
enabled: true
enforce:
frame-ancestors:
- https://www.example.de
René
Danke für den Tipp – falls die angestrebte Lösung nicht funktioniert, werde ich das gerne probieren. https://www.example.de wäre dann die Domain der Ausgabeseite?Zitat:
Zitat von Fehrmann
Das wäre die Domain, auf der deine Seite als iFrame eingebunden werden soll.Zitat:
Zitat von ChrisT
Hallo Rene, hat sich mittlerweile etwas an der Syntax geändert.Zitat:
Zitat von Fehrmann
Bei mir klappt der Eintrag mit entsprechender Domain und Anwendungscache erneuern leider nicht. (Contao 4.13.19)
Hi,
wir haben das nur bei einem Projekt aktuell im Einsatz (derzeit 4.13.18) und dort funktioniert die Einstellung so wie bereits dargestellt (gerade nochmal gecheckt).
Was sagt denn auf der Seite mit dem iFrame die Entwickler-Konsole für den Request? (meist steht dort dann, abgelehnt wegen CSP sowieso)
Gruss
René
Hier kommt:Zitat:
Zitat von Fehrmann
refused to frame 'https://besser-zum-druck.de/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors https://app.visitlead.com".
Poste deine aktuelle config.ymlZitat:
Zitat von Druckfrosch
Es lag an der Domain. Richtig war https://app.visitlead.deZitat:
Zitat von Druckfrosch
Danke
Hi.. ich habe nun folgendes gemacht:
-Den Ordner "config" im Root Verzeichnis angelegt (also selbe ebene wie Public)
-Dort die Datei "config.yml" angelegt
-Dort folgendes reingeschrieben
-Cache hatte ich auch geleertPHP-Code:nelmio_security:
csp:
enabled: true
enforce:
frame-ancestors:
- https://meinedomain.de
Sobald ich die Seite, wo ich diese per iframe anziehen will öffne, steht immer noch, dass "meinedomain.de" die Verbindung abgelehnt hat.
Hat sich da zwischenzeitlich etwas geändert?
Danke und LG
Du hast zwei mal meinedomain.de geschrieben. Welche Domain hast du nun in der Config eingetragen?
AlsoZitat:
Zitat von Spooky
Anzuzeigende SubDomain: https://infopoint.meinedomain.de
Diese soll auf einem Infoterminal angezeigt werden, der die externen Seiten in einem iframe lädt.
in die comfig.yml auf der Root ebene der Seite, die per iframe angezeigt werden soll, habe ich auch genau diese Domain eingetragen z.b. https://infopoint.meinedomain.de
Wenn ich am Infoterminal diese Seite anschauen will (Vorschau kann man per software über den Browser bewerkstelligen) kommt die Fehlermeldung, "infopoint.meinedomain.de hat die Verbindung abgelehnt" (in Google Chrome)
bei Contao Seiten bis 4.13 funktioniert das und ab 4.4 wird die Verbindung nicht mehr erlaubt - soweit konnte ich das schon einschränken
Poste mal die echte Seite.
Dort sind aktuelle keine <iframe>s eingebunden.
Hier mal eine testseite.
https://www.lungau-point.at/iframe.html
Als iframe wurde
https://infopoint.naturpark-riedintal.at
eingetragen
Firefox, Safari und Chrome zeigen den iframe nicht an..
Bei https://infopoint.naturpark-riedintal.at/ hast du den Default X-Frame-Options: SAMEORIGIN Header drin. Das musst du wie hier im Thread weiter oben beschrieben ändern.
ich habe nun das hier nochmals nei in eine config.yml gelegt...
anbei ein screen wo das teil liegt ... Es ändert sich nichts.. Die Seite kann nicht angeziegt werdenPHP-Code:nelmio_security:
csp:
enabled: true
enforce:
frame-ancestors:
- https://infopoint.naturpark-riedingtal.at
Irgendwo habe ich wohl einen Knoten drin..
Anhang 27543
Wie schon erwähnt geht es um den X-Frame-Options Header. Du musst, wie weiter oben im Thread schon erwähnt, wenn dann folgendes machen: https://community.contao.org/de/show...l=1#post454621
Hab mir das mal alles soweit durchgelsen und habe nun folgendes bei der infopoint.naturpark-riedingtal.at in die config.yml geschrieben:
PHP-Code:nelmio_security:
clickjacking:
paths:
'^/lorem/ipsum/dolor.html$': ALLOW
Diese Seite habe ich auf der Seite
https://www.lungau-point.at/iframe.html
per iframe eingebaut.
Der Frame lautet
Auf der Lungau-point Seite habe ich auch dei den tags <iframe> angelegt und bei den Sicherheitseinstellungen "height,name,src,width" hinzugefügt.PHP-Code:<iframe src="https://infopoint.naturpark-riedingtal.at" width="900" height="400">
</iframe>
Auf der infopoint.naturpark-riedingtal.at habe ich per FTP den Prod und DEV Cache gelöscht.
Ergebnis: Der iframe wird auf der testseite nicht angezeigt Ergo.. ich bin mit meinem Wissen am Ende.
Du hast jetzt nur /lorem/ipsum/dolor.html erlaubt als iframe eingebunden zu werden.
Also auf meiner Testseite gehts.. jetzt mal bei den Display Leuten nachhaken!!
Danke Dir Spooky
Was kann ich Dir Gutes tun??
Hallo,
ich habe auch das iframe-Problem:
Mit dem Toolbaukasten von Appyourself soll eine App erstellt werden, die auf die eigene Website (Contao 4.13.35) per iframe zugreift.
Ich habe nach Anleitung sowohl im Root-Verzeichnis (/config/config.yml) als auch unter system/config/config.yml die entsprechenden Angaben gemacht und den Cache geleert. Leider ohne Erfolg.
https://www.meine_website.de ist die Seite, die per iframe eingebunden werden darf/soll. Wo genau soll die yml-Datei liegen?Code:nelmio_security:
csp:
enabled: true
enforce:
frame-ancestors:
- https://www.meine_website.de
Roland
Dann musst Du die Einstellungen(das per iFrame einbinden erlauben) bei Appyourself machen.Zitat:
Zitat von RoGer
Die weiter oben diskutierten Fälle waren au anders herum: Contao einer anderen Site die Einbindung erlauben lassen.
Vielen Dank für deine Antwort.
Zunächst: Ich selbst bin nicht der App-Entwickler.
In einer App soll eine bestehende Contao-Website (Contao 4.13.35) erscheinen bzw. eingebunden werden. Daher muss ich der Contao-Website ausdrücklich mitteilen, dass sie (z.B. durch die App) eingebunden werden darf. Andersherum macht eigentlich keinen Sinn... oder verstehe ich das falsch ?
Nein, das klingt richtig. Ich hatteZitat:
Zitat von RoGer
wohl falsch verstanden. Jetzt, wo ich es nochmal lese: "die auf die eigene ..." habe ich wohl als "auf die die eigene ..." gelesen. Sorry!Zitat:
Zitat von RoGer
Zu Deinem Problem: Du musst Contao dann sagen, daß die andere Website (die App) Deine Website per Frame verwenden darf. Mit Deiner Einstellung
würdest Du es ja Dir selbst erlauben, was wenig Sinn ergibt.Zitat:
Code:nelmio_security:
csp:
enabled: true
enforce:
frame-ancestors:
- https://www.meine_website.de
Anstelle https://www.meine_website.de müsste dort die URL der App stehen (wie auch immer das bei einer App geht).
Nach kurzer Unterbrechung widme ich mich wieder dem iframe-Problem.
Nachdem der Eintrag
keine Änderung brachte, habe ich in der .htaccess folgendes eingesetzt:Code:nelmio_security:
csp:
enabled: true
enforce:
frame-ancestors:
- https://www.meine_website.de
Auch OHNE Erfolg !Code:<IfModule mod_headers.c>
Header set X-Frame-Options GOFORIT
</IfModule>
Trotzdem habe ich noch ein iframe-Problem:
Ich habe testweise zwei HTML-Element eingebunden (Zeilen oben)
Darunter ist das Ergebnis im Quellcode und darunter im FRontend zu sehen.
Warum funktioniert der <a>-Link und nicht der <iframe> ?
https://i.ibb.co/2MmrPcT/iframe.jpg
<iframe> musst du zuerst in den Sicherheitseinstellungen erlauben.
Ok, bei den Attributen war es vorhanden, bei "Erlaubte HTML-Tags" NICHT.
Das urspüngliche Problem (siehe oben) bleibt allerdings bestehen...
Der iframe wird mit folgendem Inhalt angezeigt:
https://i.ibb.co/rppmYKV/iframe3.jpg
Als Alternative zu iFrame erlauben lege ich ein eigenes Template an z. B. ce_html_iframe_xy.html5, welches ich in dem CE HTML auswähle - in den Eingabebereich schreibe ich einen HTML-Kommentar wieZitat:
Zitat von RoGer
Damit ist eine Info in der Auflistung der CEs zu sehen, was das ist...PHP-Code:<!-- iFrame zur Einbindung von Seite XY -->