Contao-Camp 2024
Ergebnis 1 bis 2 von 2

Thema: Wird X-Frame-Options per Default durch Contao (4.9) gesetzt?

  1. #1
    Contao-Nutzer
    Registriert seit
    03.12.2014.
    Beiträge
    48

    Standard Wird X-Frame-Options per Default durch Contao (4.9) gesetzt?

    Hallo Forum,

    ich musste heute einer fremden Website die Einbindung eines iframes auf meine Seite erlauben. Ich mache das bisher immer durch einen Eintrag in der .htaccess nach diesem Muster
    Code:
    Header always append Content-Security-Policy "frame-ancestors 'self' *.example.com"
    Das funktioniert auch normalerweise aber heute nicht und als ich mit dem Entwickler der anderen Seite nach dem Grund forschte, sagte er mir, wir haben im Header noch diesen Eintrag:

    Code:
    X-Frame-Options: SAMEORIGIN
    und deren Service will sichergehen, dass nur moderne Browser verwendet werden und es keine Kompatibilitätsprobleme geben soll. Ist dieser Header gesetzt, kann unsere Seite nicht eingebunden werden.

    Ich war darüber etwas verwundert, weil ich den nicht bewusst gesetzt habe und dieser auch nicht in der default .htaccess von Contao 4.9 gesetzt wurde. Ich dachte zuerst, dass ist eine Frage des Hosters, der den Webserver vielleicht darunter mit entsprechenden "Basis-Direktiven" ausstattet und habe dort angefragt. Der Support sagte mir aber, dieser Header wird von ihren Direktiven nicht gesetzt und es müssen sich wohl um eine andere .htaccess oder ein php script handeln.

    Ich wusste nicht genau wie ich das in meiner laufenden Umgebung am einfachsten hätte ermitteln können und habe deshalb, um sicher zu gehen, eine nackte C4.9 Installation durchgeführt und diese, nach dem Setup mit den allerminimalsten Einstellungen, zu einer simplen Ausgabe von "Hallo Welt!" bewegt.
    Es gibt also keine zusätzlichen Erweiterungen oder irgendwelche Scripte, die durch externe Templates hineingekommen sein könnten.

    Beim Check des Headers taucht nun tatsächlich wieder der Eintrag auf:
    2021-10-13 20_21_39-Window.png

    Hmm. Wo kommt der her? Angeblich nicht vom Hoster. Kann es sein, dass dieser Header per Default von Contao gesetzt wird? Und wenn ja, wie kann ich das ggf. verhindern?

    Vielen, vielen Dank euch!
    Angehängte Grafiken Angehängte Grafiken

  2. #2
    Contao-Nutzer
    Registriert seit
    03.12.2014.
    Beiträge
    48

    Standard

    Unabhängig von der Frage, wo der Headerwert gesetzt wird, habe ich das Problem dadurch "lösen" können, indem ich per .htaccess, den Header wieder deaktiviere:

    HTML-Code:
    Header always unset X-Frame-Options
    Damit ist mein Problem erstmal gelöst.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •