iFrame einbetten

raulifauli1 · 24. Juli 2023 um 20:27

Hallo, unser Shop soll mittels iFrame auf einer anderen Webseite eingebunden werden und es erscheint aber immer folgende Fehlermeldung:

Firefox darf diese eingebettete Seite nicht öffnen

Zu Ihrem Schutz erlaubt www…de es Firefox nicht, diese Seite anzuzeigen, wenn sie in eine andere Seite eingebettet ist. Zur Anzeige der Seite muss diese in einem neuen Tab geöffnet werden.

Weitere Informationen…

Wie kann diese Fehlermeldung umgangen werden?

Vielen Dank für Eure Hilfe.
Beste Grüße

ThomasChr · 25. Juli 2023 um 05:53

Vor einiger Zeit hatten wir das gleiche Problem. Und zwar wird im Programmcode in der Datei ‚CoreSubscriber.php‘ das folgende gesendet:

$response->headers->set('X-Frame-Options', 'deny');

→ Das muss da raus. Ich glaub wir haben es damals direkt auskommentiert was definitiv nicht die schönste Lösung ist!

DanielK1511 · 25. Juli 2023 um 08:59

Hallo,

Sind beide Seiten per SSL abgesichert?
Browser erlauben meistens keine HTTP Inhalte auf HTTPS gesicherten Webseiten.

Ggf. sind die X-Frame-Option auf sameorigin gesetzt, dann erlaubt der Shop selber nicht auf fremden Seiten angezeigt zu werden.

raulifauli1 · 25. Juli 2023 um 09:20

Oh das könnte ich ja auch mal probieren. Wo finde ich die Datei denn?

raulifauli1 · 25. Juli 2023 um 09:23

ja, beides sind per https, daran kanns nicht liegen. Und die X-Frame Zeile hab ich in der htaccess auskommentiert, das hatte aber keine Wirkung Oder gibt es da noch eine andere Stelle wo ich das ändern muss?

Max_Shop · 25. Juli 2023 um 09:24

github.com

shopware/shopware/blob/6947464b4430896ca52fec49f92315a15b47fdcc/src/Core/Framework/Routing/CoreSubscriber.php#L55


      
          public function setSecurityHeaders(ResponseEvent $event): void
          {
              if (!$event->getResponse()->isSuccessful()) {
                  return;
              }
          
              $response = $event->getResponse();
              if ($event->getRequest()->isSecure()) {
                  $response->headers->set('Strict-Transport-Security', 'max-age=31536000; includeSubDomains');
              }
              $response->headers->set('X-Frame-Options', 'deny');
              $response->headers->set('X-Content-Type-Options', 'nosniff');
              $response->headers->set('Referrer-Policy', 'strict-origin-when-cross-origin');
          
              $cspTemplate = $this->cspTemplates['default'] ?? '';
          
              $scopes = $event->getRequest()->attributes->get(PlatformRequest::ATTRIBUTE_ROUTE_SCOPE, []);
          
              foreach ($scopes as $scope) {
                  $cspTemplate = $this->cspTemplates[$scope] ?? $cspTemplate;
              }

Shopware in einem iFrame zu laden kann zahlreiche Sicherheitsrisiken mit sich bringen, ganz abgesehen auch neue Fragen zur DSGVO aufwerfen.

ThomasChr · 25. Juli 2023 um 09:25

Wie gesagt, bei uns (damals…) wurde diese Zeile direkt im Programmcode von Shopware erzeugt. Da könnte man es auskommentieren, aber das ist nicht unbedingt der Weg den man eigentlich gehen will.

raulifauli1 · 25. Juli 2023 um 09:45

Das stimmt auf jeden Fall. Das habe ich auch schon zu bedenken gegeben, aber das wird mit Passwort geschützt im iFrame geladen und es haben nur ein kleiner Kreis Zugriff darauf.

ThomasChr · 25. Juli 2023 um 12:55

Naja, um die Sicherheit gings mir jetzt nicht. Eher darum dass man eigentlich den PHP-Programmcode nicht direkt ändern will weil sowas beim nächsten Update dann entweder einfach überschrieben wird oder anderweitig Probleme macht…

raulifauli1 · 25. Juli 2023 um 17:40

Ich hab deinen Weg probiert, leider hat der bei mir auch nichts geholfen. Es geht immer noch nicht und irgendwie stehe ich echt auf dem Schlauch was man noch versuchen könnte

ThomasChr · 25. Juli 2023 um 17:53

Cache geleert? In den Browser Tools mal geschaut ob der Header noch gesetzt wird?

raulifauli1 · 27. Juli 2023 um 20:34

Cache geleert ja, aber du hast recht mittels einem tool steht der X-Frame immer noch auf deny, aber in meiner htaccess und auch in der Datei die ich auf Basis deiner Anzeige angepasst habe, stehen diese Dinge nimmer drin - wie finde ich nun raus, welche Datei immer noch diese Option integriert hat?

Thema		Antworten	Aufrufe
IFRAME CODE funktioniert nicht auf Shopseiten Allgemein	4	927	5. September 2018
Shopware SSL Warnung Allgemein	2	445	16. Mai 2015
Hilfe, Aufruf des Warenkorbs funktioniert nicht Shopware 3.5 installation--gettin	5	426	24. April 2011
Shopware im Iframe laufen lassen Shopware 3.5 other	2	6853	11. Juni 2014
Redirect oder wie das heisst Shopware 6 (German)	3	154	5. Mai 2023

iFrame einbetten

Verwandte Themen