Contao 4.8 X-Frame SAMEORIGIN Problem

[Cerebro]

Hallo zusammen,

ich habe ein älteres Contao-4.8-Projekt, bei dem ich eine einzelne Frontend-Seite in einen externen iFrame einbinden soll.

Aktuell wird die Einbettung durch X-Frame-Options: SAMEORIGIN blockiert.
Laut Hoster wird der Header von der Anwendung bzw. nelmio/security-bundle gesetzt.

Ich habe es zuerst mal über .htaccess probiert:

Code:

<Files "testseite.html">
Header always unset X-Frame-Options
Header always set Content-Security-Policy "frame-ancestors 'self' https://externe-domain.com"

Das hat leider nicht funktioniert, der Header blieb auf SAMEORIGIN.
Die Seite ist allerdings keine physische Datei, sondern ein normaler Contao-Seitenalias.
Danach habe ich testweise eine config/config.yml angelegt und es damit probiert:

Code:

nelmio_security:
    csp:
        enabled: true
        enforce:
            frame-ancestors:
                - 'self'
                - 'https://externe-domain.com'

Nach Cache-Leerung gab es dabei einen 500er, daher habe ich das wieder zurückgebaut.
Hat jemand eine Idee, wie man das in ´nem Contao-4.8-Setup machen kann, wenn nur eine einzelne Seite extern eingebettet werden soll?

Vielen lieben Dank für Tipps und Hilfen.

[fiedsch]

Bei Deiner YAML Konfiguration passen (zumindest bei Deinem Post) die Einrückungen nicht.

[Cerebro]

Huch! Hat´s zerhauen irgendwie. Habe es mal korrigiert wie ich es drin hatte! Danke!

[Cerebro]

Ah! Jetzt geht es. Der Fehler lag am Ende offenbar nicht am eigentlichen Nelmio-/CSP-Eintrag, sondern daran, dass ich anfangs eine zu große bzw. für das alte Setup ungeeignete config.yml nachgerüstet hatte, welche ich in einem Beitrag entdeckt hatte. Funktioniert hat es schließlich mit einer wirklich minimalen config/config.yml, die nur parameters.yml importiert und sonst nur den Nelmio-CSP-Block enthält.