ich muss eine Contao-Seite als iFrame zulassen - mit
Code:
nelmio_security:
clickjacking:
paths:
'^/.*': ALLOW
in der config.yml ist die Browsermeldung weg und die Seite wird angezeigt...
Das Contao ist eine Multi-Domain-Installation und ich würde die Freigabe gern nur auf eine Domain bzw. Startpunkt begrenzen - geht sicher... in den Postings konnte ich es nicht finden.
Edit:
siehe Clickjacking Protection
Code:
nelmio_security:
clickjacking:
paths:
'^/iframes/': ALLOW
'^/.*': DENY
content_types: []
hosts:
- '^foo\.com$'
- '\.example\.org$'
Update:
Auf der als iFrame anzuzeigender Seite ist ein MP_Forms eingebaut... wenn man das als iFrame sich ansieht und ausführt, kommt es bei Anzeige des 2. Step[p]s zu einem Error wg. CSRF-Token... im vorhergehenden Step ist der Token aber als hidden field mit bei... hab mal die Prüfung angestellt und alles geht wieder ... schöner wäre, wenn das auch mit Prüfung ginge
Update II:
bei dem MP_Form sollten im letzten Stepp die Werte angezeigt werden - bei FF ging das in Chrome und Edge nicht... mit dem Eintrag aus #18 geht dann auch das wieder
Code:
# .htaccess
<IfModule mod_headers.c>
Header always append Content-Security-Policy "frame-ancestors 'self' http://www.quandoo-partner.com https://www.quandoo-partner.com"
</IfModule>
Lesezeichen