Einbindung in iframe erlauben

**cont772** · 20.07.2022, 16:16

Hallo,

ich möchte einer "Fremddomain" erlauben, meine Seite in einem iframe darzustellen.

Ich habe nun schon viel über CORS, Content-Security-Policy, etc. gelesen.
Leider ist mir nach wie vor nicht klar, was ich alles konfigurieren muss.

Kann mir jemand erklären, was genau ich in meiner Contao-Konfiguration einstellen und ggf. in der .htaccess hinterlegen muss?

Danke & Grüße

**amateur** · 20.07.2022, 17:54

Kann man das überhaupt? Verhindern, dass eine andere Seite Deine einbindet?

**BennyBorn** · 20.07.2022, 20:42

Siehe https://community.contao.org/de/show...PTION-Probleme

**cont772** · 20.07.2022, 20:56

Danke. Den Artikel hatte ich auch schon gefunden. Da gibt es viele Ideen und "Ansätze".
Aber ich hatte gehofft, dass es eine "offizielle" oder finale Lösung gibt, die man verlässlich und ohne Risiko umsetzten kann ...

- - - Aktualisiert - - -

Zitat von amateur

Kann man das überhaupt? Verhindern, dass eine andere Seite Deine einbindet?

Ich will es nicht "verhindern" (Dafür sorgen schon die Browser), sondern erlauben...

**BennyBorn** · 20.07.2022, 22:20

Zitat von cont772

Danke. Den Artikel hatte ich auch schon gefunden. Da gibt es viele Ideen und "Ansätze".
Aber ich hatte gehofft, dass es eine "offizielle" oder finale Lösung gibt, die man verlässlich und ohne Risiko umsetzten kann ...

Die Lösung von Spooky ist die "offizielle" Lösung. Verhindert wird die Einbettung durch das Nelmio Security Bundle und über entsprechende Anpassungen in der config/config.yml kann man es eben ändern

Code:

nelmio_security:
    clickjacking:
        paths:
            '^/.*': 'ALLOW-FROM https://www.example.org'

**ChrisT** · 08.02.2023, 07:09

Zitat von BennyBorn

Die Lösung von Spooky ist die "offizielle" Lösung. Verhindert wird die Einbettung durch das Nelmio Security Bundle und über entsprechende Anpassungen in der config/config.yml kann man es eben ändern

Code:

nelmio_security:
    clickjacking:
        paths:
            '^/.*': 'ALLOW-FROM https://www.example.org'

https://developer.mozilla.org/en-US/...tiredLocale=de

ALLOW-FROM=url
This is an obsolete directive that no longer works in modern browsers

Gibt es eine zuverlässige und zeitgemässe Lösung dafür?

**Fehrmann** · 08.02.2023, 07:46

Ich hatte das Problem neulich auch und habe es ebenfalls über die `config/config.yml` gelöst:

Code:

nelmio_security:
  csp:
    enabled: true
    enforce:
      frame-ancestors:
        - https://www.example.de

Viele Grüße
René

**ChrisT** · 08.02.2023, 08:10

Zitat von Fehrmann

Ich hatte das Problem neulich auch und habe es ebenfalls über die `config/config.yml` gelöst:

Code:

nelmio_security:
  csp:
    enabled: true
    enforce:
      frame-ancestors:
        - https://www.example.de

Viele Grüße
René

Danke für den Tipp – falls die angestrebte Lösung nicht funktioniert, werde ich das gerne probieren. https://www.example.de wäre dann die Domain der Ausgabeseite?

**Fehrmann** · 08.02.2023, 08:17

Zitat von ChrisT

Danke für den Tipp – falls die angestrebte Lösung nicht funktioniert, werde ich das gerne probieren. https://www.example.de wäre dann die Domain der Ausgabeseite?

Das wäre die Domain, auf der deine Seite als iFrame eingebunden werden soll.

**Druckfrosch** · 19.04.2023, 08:40

Zitat von Fehrmann

Ich hatte das Problem neulich auch und habe es ebenfalls über die `config/config.yml` gelöst:

Code:

nelmio_security:
  csp:
    enabled: true
    enforce:
      frame-ancestors:
        - https://www.example.de

Viele Grüße
René

Hallo Rene, hat sich mittlerweile etwas an der Syntax geändert.
Bei mir klappt der Eintrag mit entsprechender Domain und Anwendungscache erneuern leider nicht. (Contao 4.13.19)

**Fehrmann** · 19.04.2023, 09:58

Hi,

wir haben das nur bei einem Projekt aktuell im Einsatz (derzeit 4.13.18) und dort funktioniert die Einstellung so wie bereits dargestellt (gerade nochmal gecheckt).

Was sagt denn auf der Seite mit dem iFrame die Entwickler-Konsole für den Request? (meist steht dort dann, abgelehnt wegen CSP sowieso)

Gruss
René

**Druckfrosch** · 19.04.2023, 10:28

Zitat von Fehrmann

Hi,

wir haben das nur bei einem Projekt aktuell im Einsatz (derzeit 4.13.18) und dort funktioniert die Einstellung so wie bereits dargestellt (gerade nochmal gecheckt).

Was sagt denn auf der Seite mit dem iFrame die Entwickler-Konsole für den Request? (meist steht dort dann, abgelehnt wegen CSP sowieso)

Gruss
René

Hier kommt:
refused to frame 'https://besser-zum-druck.de/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors https://app.visitlead.com".

**Spooky** · 19.04.2023, 10:42

Zitat von Druckfrosch

Hier kommt:
refused to frame 'https://besser-zum-druck.de/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors https://app.visitlead.com".

Poste deine aktuelle config.yml

**Druckfrosch** · 19.04.2023, 10:47

Zitat von Druckfrosch

Hier kommt:
refused to frame 'https://besser-zum-druck.de/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors https://app.visitlead.com".

Es lag an der Domain. Richtig war https://app.visitlead.de

Danke