gambio in iframe anzeigen (für selbst gehostete Shops)

Thema wurde von DKG - Die Kleine Geschenkidee (Peter), 28. August 2020 erstellt.

  1. DKG - Die Kleine Geschenkidee (Peter)

    DKG - Die Kleine Geschenkidee (Peter) Erfahrener Benutzer

    Registriert seit:
    2. Oktober 2017
    Beiträge:
    304
    Danke erhalten:
    159
    Danke vergeben:
    101
    #1 DKG - Die Kleine Geschenkidee (Peter), 28. August 2020
    Hallo,

    nachdem ich heute von 4.0.01 auf 4.1.3.0 upgedatet habe,
    musste ich feststellen das meine selbst gehostete Seite nicht mehr in einem iframe aufrufbar war.

    Verhindert wird dies durch zwei Einträge in den Dateien

    - GXMainComponents/Application.inc.php (Frontend)
    - admin/includes/application_top.php (Backend)

    Dort ist jeweils dieser Eintrag zu finden:
    Code:
    if ($finder->get('gm_configuration/SEND_X_FRAME_OPTIONS_SAMEORIGIN_HEADER') === 'true') {
            header('X-Frame-Options: SAMEORIGIN');
        }
    Grundsätzlich ist das eine gute Sache, da es eine gute Methode ist um sogenanntes "Clickjacking" von Hackern nicht zuzulassen. Trotz allem muss ich als gambio Nutzer selbst die Wahl haben können und es nicht einfach vordiktiert bekommen.

    Daher meine Meinung und Vorschlag für künftige Versionen:
    Bitte bei die System Einstellungen in die Sicherheitseinstellungen mit reinpacken, so dass man dann selbst
    optional wählen kann zwischen

    - deny
    - sameorigin
    - allow-from https://example.com/

    Quick + dirty kann man, wenn man selbst hostet und unbedingt in einem iframe anzeigen lassen möchte, die o.g. Dateien anpassen (nicht updatesicher) indem man durch folgendes ersetzt:

    Code:
    if ($finder->get('gm_configuration/SEND_X_FRAME_OPTIONS_SAMEORIGIN_HEADER') === 'true') {
            header('X-Frame-Options: allow-from https://example.com/');
        }
    example.com einfach durch eine Domain Deiner Wahl ersetzen.

    MFG
     
  2. Anonymous

    Anonymous Erfahrener Benutzer
    Mitarbeiter

    Registriert seit:
    22. Juni 2011
    Beiträge:
    4.760
    Danke erhalten:
    1.748
    Danke vergeben:
    137
    #2 Anonymous, 31. August 2020
    Es kann zu massiven und schwer diagnostizierbaren Problemen mit den Zahlungsdienstleistern führen, wenn der Shop sich in einem IFrame darstellen lässt. Deswegen ist diese Option nicht sinnvoll.
     
  3. Moritz (Gambio)

    Moritz (Gambio) Administrator

    Registriert seit:
    26. April 2011
    Beiträge:
    5.786
    Danke erhalten:
    2.692
    Danke vergeben:
    903
    #3 Moritz (Gambio), 31. August 2020
    Wir haben die Option eben an eine Einstellung geknüpft, so dass man das ohne Umprogrammierung ausstellen kann. Also in der gx_configurations-Tabelle muss man dann für
    gm_configuration/SEND_X_FRAME_OPTIONS_SAMEORIGIN_HEADER den Wert auf false stellen. Weil wir selbst nicht viel davon halten das abzuschalten, haben wir da keine Option im Gambio Admin geschaffen. Falls die Nachfrage da steigen sollte, können wir erneut darüber nachdenken. Damit ist das allow-from nicht abgedeckt. Wem das wichtig ist, muss umprogrammieren, das stimmt.