X-Frame-Options

Vyřešeno547 zhlédnutíWebhosting
0

Zdravím,

rád bych omezil fungování iframu s obsahem z mého webu na konkrétní doménu.

V htaccess mi funguje jen:

Header set X-Frame-Options SAMEORIGIN // povolí iframe jen na stejné doméně

Už však ne:
Header always append X-Frame-Options ALLOW-FROM https://www.domena.cz/ // povoli iframe i na jiné doméně

Iframe na povolené doméně hlásí odmítnutí jakoby by vůbec nebral v potaz povolení z domény. Funguje tahle directiva vůbec nebo je zakázaná?

Role: Zákazník
Otázka je uzamčena pro nové odpovědi.
Vybral nejlepší odpověď

Vložte na začátek stránek kod

Vypíše Vám to místo errory, místo chyby 500.

Jaky kod mate na mysli?

Jestli PHP header, tak ani jedno nema zadny efekt
header(„X-Frame-Options SAMEORIGIN“);
header(„Content-Security-Policy: frame-ancestors https://aukro.cz;“);

Dobrý den,
zaslal jsem kód bohužel se v komentáři nezobrazil.
Použíte kód: https://hastebin.com/kunoyimobi.xml
který vložíte na začátek soubouru.

Dobrý den,
stále dostávám chybu 500, způsobenou htaccessem. Na php kód vůbec nedojde. Ten jeden řádek to neumožní.

2

Definice hlavičky X-Frame-Options
Zakázání jakéhokoliv vkládání

X-Frame-Options: DENY


Omezení na použití v rámu v rámci domény

X-Frame-Options: SAMEORIGIN


Kompletní zamezení, kromě zvolené domény

X-Frame-Options: ALLOW-FROM https://domenayxz.cz


Místo allow-from je již doporučováno používat nové řešení pomocí hlavičky Content-Security-Policy s direktivitou frame-ancestors. Výhodou je, že umožňuje povolit více domén.

Content-Security-Policy: frame-ancestors https://domenayxz.cz


Potenciální chyby v nastavení
ALLOW FROM http://domenayxz.cz ALLOW-FROM musí obsahovat pomlčku.
ALLOW-FROM domenayxz.cz ALLOW-FROM musí obsahovat celé URI včetně https://.
Nepoužívejte SAMEORIGIN, pokud máte nějakou stránku v doméně, která akceptuje libovolnou adresu URL s rámy.

Role: Zákazník+ Web: https://jakubsarm.eu/ Vizitka: Jmenuji se Jakub a rád Vám poradím ohledně CSS, HTML, PHP a TypeScriptů. Popřípadě správa VPS serverů, domén a DNS.
publikoval nový komentář

Bohužel jak
Header always append Content-Security-Policy: frame-ancestors https://aukro.cz
tak
Header always append X-Frame-Options: ALLOW-FROM https://aukro.cz

vrací na dané doméně chybu 500. Proto jsem se ptal, zda je to vůbec na wedosu povolené. Máte nějaký tip?

Komentář odsud zmizel, tak píši ještě jednou.

Jak jsem psal, 2. moznost funguje, 3. a 4. nikoliv (celý web vrací chybu 500). Jelikož jde o zápis, který zde uvádíte a který je uváděn i jinde, tak mě napadá jen nepovolení direktivy Wedosem. Lze tuto možnost u Wedosu nějak povolit?

Podle všeho, by to povolené být mělo.
Můj webhosting mám u sebe na VPS serveru.

Na VPS mozna jo, ale co na klasickym no limit hostingu?

Prohlížíte 1 ze 3 odpovědí, klikněte zde pro zobrazení všech odpovědí.

Categories