web odmítl připojení v iframu

admin@easyweb4u.cz
Backer | 143
+
0
-

Zdar vespolek, potřebuju v iframu cizího webu (je též postavený na Nette) zobrazovat formulář z mateřského webu. Iframe se ale nenačte a objeví se hláška web … odmítl připojení

Když ale kliknu pravým tlačítkem do iframu a zobrazím si kód, tak ten tam vidím

dal jsem do configu

http:
frames: true

ale nepomohlo to

admin@easyweb4u.cz
Backer | 143
+
0
-

admin@easyweb4u.cz napsal(a):

Zdar vespolek, potřebuju v iframu cizího webu (je též postavený na Nette) zobrazovat formulář z mateřského webu. Iframe se ale nenačte a objeví se hláška web … odmítl připojení

Když ale kliknu pravým tlačítkem do iframu a zobrazím si kód, tak ten tam vidím

dal jsem do configu

http:
frames: true

ale nepomohlo to

vložil jsem do

<?php
	public function startup() {
		parent::startup();

    header('X-Frame-Options: GOFORIT');
}
?>

a hle – rámec se zobrazil :-)

Petr Parolek
Člen | 455
+
0
-

K nastavení hlaviček se používá https://doc.nette.org/cs/configuring#… .

Vw tvém případě:

http:
	frames: true

Editoval ppar (16. 1. 2021 11:30)

Marek Bartoš
Nette Blogger | 1143
+
0
-

Můžeš použít následující kombinaci která vytvoří X-Frame-Options: ALLOW-FROM https://example.com; a Content-Security-Policy: frame-ancestors https://example.com;. CSP pro novější prohlížeče, X-Frame-Options pro starší. Hodnota ALLOW-FROM je totiž obsolete a moderní prohlížeče ji ignorují.

http:
	frames: https://example.com
	csp:
		frame-ancestors: https://example.com

Tvá varianta header('X-Frame-Options: GOFORIT') není validní – prohlížeč ji nejspíš ignoroval a zvolil výchozí chování, kde je všechno dovoleno.

Editoval Mabar (16. 1. 2021 11:59)

admin@easyweb4u.cz
Backer | 143
+
0
-

Mabar napsal(a):

Můžeš použít následující kombinaci která vytvoří X-Frame-Options: ALLOW-FROM https://example.com; a Content-Security-Policy: frame-ancestors https://example.com;. CSP pro novější prohlížeče, X-Frame-Options pro starší. Hodnota ALLOW-FROM je totiž obsolete a moderní prohlížeče ji ignorují.

http:
	frames: https://example.com
	csp:
		frame-ancestors: https://example.com

Tvá varianta header('X-Frame-Options: GOFORIT') není validní – prohlížeč ji nejspíš ignoroval a zvolil výchozí chování, kde je všechno dovoleno.

Jo, to funguje, jestli to teda nejede z nějaké cashe.