Iframe Clickjacking für bestimmte Seiten erlauben

**FlorinvV** · 05.02.2021, 09:18

Hallo Community,

ich versuche eine Unterseite für I-Frames von anderen, externen Seiten freizugeben.
Durch den Thread https://community.contao.org/de/show...PTION-Probleme habe ich diesen Aufbau meiner config.yml:

Code:

nelmio_security:
  clickjacking:
    paths:
      '^/diese-seite-ist-erlaubt/': ALLOW
    content_types: []

wenn ich jetzt die Seite per IFrame einbinde, wird sie trotzdem gesperrt... wenn ich die gesamte Domain freigebe, funktioniert es, aber das soll natürlich nicht so sein.

Ich bin mir nicht sicher wo der Fehler bei mir liegt...

Vielen Dank für etwaige Hilfe
LG
Florin

**Markus** · 05.02.2021, 13:27

Das hat mich auch schon mal Stunden gekostet. Bei einem unserer Projekte hat letztlich das hier funktioniert:

Code:

nelmio_security:
    clickjacking:
        paths:
            '^/.*': 'ALLOW-FROM https://domain.de'

Wichtig: Vor dem Testen den Prod-Cache leeren, z.B. im Contao-Manager.

Meine Info kam damals aus diesem Thread.

**FlorinvV** · 08.02.2021, 07:40

Daran hatte ich auch schon gedacht, wird in meinem Fall aber leider nichts bringen, da der Kunde diese Seite für unbestimmt viele, andere Websites freigeben möchte, die ich auch nicht kenne...

Deswegen ist es ja so wichtig, dass explizit die eine Seite allgemein freigeschalten ist