iframe einbinden CORS


#1

Meine Seite läßt sich jetzt ganz einfach mit einen iframe einbinden. Normalerweise wenn ich sowas mit anderen Seiten versuche spielt der Browser nicht mit wegen der CORS. Ist ja auch richtig so. Was muß man einstellen um das mit meiner Seite zu verhindern ? Kann ich das in den meta Tags einstellen .Muß ich dafür die htaccess. Datei ändern ,oder wie geht das ? Oder habe ich da keinen Zugriff drauf weil das eine Server einstellung ist wo ich nicht dran Komme ?. Mich stört das zwar gerade nicht ,aber das sind doch sachen die doch ein Interesieren weil es ja auch Sicherheitsgründen vieleicht auchnicht verkehrt sein soll.

Weiß einer wie und was ich da einstellen muß um das iframe zuzulassen oder zu sperren ?


#2

#3

Du bist ja ein Schlaumeier. Wenn ich da irgendwas von verstanden hätte würde ich nicht fragen. die ganzen Cods die ich gefunden habe haben nix mit html oder php zu tun und kein plan wo die hinge höhren.

Habe das bei Google gefunden

    <system.webServer>
     <httpProtocol allowKeepAlive="true" >
       <customHeaders>
         <add name="X-Frame-Options" value="*" />
       </customHeaders>
     </httpProtocol>
 </system.webServer>

Wo muß der jetzt hin? Wie muß die Datei heißen ?


#4

Hi,

mit X-Frame-Options liegst du schon richtig, dein Snippet passt aber meines Wissens nicht zum hiesigen Webserver. Du müsstest das hier eigentlich per .htaccess festlegen können: https://stackoverflow.com/questions/5881139/how-to-block-iframe-call

Also einfach eine Datei “.htaccess” mit dem Inhalt

Header set X-Frame-Options DENY

erstellen und in das gewünschte Verzeichnis hochladen.

Mfg :wink:

(Du könntest diesen Header natürlich auch per Script für einzelne Seiten mitsenden, aber ich nehme an du willst das eh global blocken … wird auch komplizierter.)


#5

Irgendwie funktioniert das nicht oder ich mache was falsch.Habe jetzt
Header set X-Frame-Options DENY
in einer .htaccess Datei gepackt und in das Haupverzeichniss gepackt . Man kann die Seiten aber trotzdem noch über iframe aufrufen. Mein Goggeln hat auch schon sehr viele unterschiedliche ergebnisse gezeigt. Leider ist das Internet auch mit vielen Falschen Aussagen zugekleistert so das man gar nicht mehr weiß was richtig ist.

Habe auch

<?php header('X-Frame-Options: DENY'); ?>

Im head Bereich einer Seite getestet aber funktionierte leider auch nicht


#6

Hi,

da können sich bei vielen Kleinigkeiten Fehler eingeschlichen haben (Tippfehler, etc.), da müsstest du uns schon deine Dateien zeigen. Es funktioniert aber prinzipiell, ich habe schnell ein Minimalbeispiel zusammengestellt: http://mgier.bplaced.net/test/Testsite/

Du kannst dir die Source-Dateien hier herunterladen und dir herausnehmen, was du brauchst: http://mgier.bplaced.net/test/FrameXTest.zip

Mfg :wink:


#7

also deine Seite läuft schon mal nicht im iframe, alo scheint es ja zu gehen. In deinen Datein kann ich jetzt aber nix finden was mir weiter helfen tut. Da sind ja nur die iframes drinne ohne htaccess Datei oder was auch immer ich brauche. Ich habe eine datei namens .htaccess erstellt wo nur das “Header set X-Frame-Options DENY” drinne steht. Aber meine Seiten kann man immer noch von egal wo im iframe abrufen. Was mache ich falsch ? Wenn ich dich richtig verstanden habe hast du doch auch nicht mehr gemacht ?


#8

Hi,

die .htaccess befindet sich im Verzeichnis “FrameNotAllowed”. Vielleicht siehst du sie nicht, weil Dateien, die mit einem Punkt beginnen, von Betriebssystemen häufig ausgeblendet werden (Verwendest du Windows?). Wenn ich raten müsste, liegt folgendes Problem vor: Du hast tatsächlich eine “.htaccess.txt” erstellt, da Windows Dateiendungen nicht einblendet. Die Datei muss aber tatsächlich nur “.htaccess” lauten (Tipp: Du kannst sie auch im FTP-Programm direkt auf dem Server umbenennen).

Mfg :wink:


#9

Das windows den Ordner .htaccess gar nich sieht wußte ich noch gar nicht.Wieder wasgelernt. Habe den Zip entpackt und dann auf Server getan und da wahr die Datei auch zu sehen. Wenn ich jetzt deine Testseite aufrufe werden beide iframes nicht angezeigt. Sehr merkwürdig. Ich muß mal kucken ob ich in irgendwelchen unter Ordnern noch eine htaccess Datei habe die da irgendwas macht. Wenn ich im Hauppordner was versuche zu blocken geht gar nich und in den Ordnern von dir blockt er jetzt jeden iframe. Oh man man . Ist das alles kompliziert. Ich durchsuche erstmal alle Ordner obda noch andere htaccedd Datein sind die ärger machen.

Habe noch eine frage zu htaccess.
Wenn ich 2 Adressen habe zb basti.de und basti1012.de . Wenn man eine von den aufruft kommt immer der gleiche Inhalt. Wie kann man das einstellen das wenn man basti.de aufruft derInhalt aus einen anderen Ordner angezeigt wird. Also so das man wirklich 2 verschiedene HPs hätte und nicht nur 1 mit 2 verschiedenen Adress namen.? Ich hoffe ihr verteht was ich meine ?


#10

Ich verstehe es einfach nicht. Wennich die Seiten über https anzeige werden die iframes angezeigt. Über http wird nix angezeigt weil CORS blockt. Egal was man in derhtaccess Datei rein schreibt die zeigt überhaupt keine wirkung. bei https und http nicht. Was mache ich den verkehrt. Wenn ich die Datei @Mgier nehme ohne was zu ändern werden beide iframes nicht angezeigt. Rufe ich sie überhttps auf werden beide iframes angezeigt. Ich verstehe das nicht


#11

Prinzipiell wirkt eine .htaccess in dem Ordner in dem sie sich befindet und auf alle darunterliegenden Ordner. “.htaccess” ist auch eine stinknormale Datei (in der Text steht), deren Dateiendung “.htaccess” ist. HTTP und HTTPS mischen kann wiederum Probleme verursachen, aber da kenne ich mich zu wenig aus. Könntest du das Testsetup mal so auf deinen Webspace laden und den Link hier reinstellen? Langsam gehen mir nämlich auch die Ideen aus.

Zu den Domains: Du kannst den beiden Domains verschiedene Heimverzeichnisse zuweisen, in die du dann verschiedene Webseiten reinlädst.

Mfg :wink:


#12

Ich verstehe das auch nicht mehr. Ich habe noch einen anderen Anbieter bei Strato und da fuctioniert das alles wie du es hier erklärt hat. Aber hier geht es irgendwie nicht richtig und ich kapier es nicht warum. Mitlerweile habe ich deine Datein zum laufen bekommen.Aber wenn ich den Hauptordner sperren will geht es nicht.(Den www Ordner) wenn ich da eine htaccess Datei erstelle funktioniert das mit den iframe erst ein Ordner weiter. Also kurz gesagt die Hauptseite läßt sich nicht blocken erst alles was im Ordner ist.Wenn ich die htacces im ersten Ordner lege ,dervor www ist reagiert gar nix drauf,als wenn in den Ordner gar nix geht weil die anderen htaccess befehle gehen dann auch nicht mehr. Ich glaube ich lasse es sein. Ich weiß jetzt wenn ich was sperren will dann muß ich die Datein erst in einen Extra Ordner tun dann geht es .Der Hauptordner spielt da irgendwie nicht mit .