New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Разрешить просмотр карты Яндекс кликов #811

Closed
mbaev opened this Issue Nov 11, 2017 · 10 comments

Comments

Projects
None yet
2 participants
@mbaev
Contributor

mbaev commented Nov 11, 2017

Drupal по умолчанию устанавливает заголовок X-Frame-Options:SAMEORIGIN, что не позволяет встраивать сайт в iframe. Для просмотра карты кликов необходимо разрешить Яндексу встраивание drupal.ru в iframe.
При этом, необходимо продолжать запрещать встраивание другим сайтам. Также нужно не забывать о том, что заголовки можно подменить.

@mbaev mbaev added the SEO label Nov 11, 2017

@mbaev mbaev self-assigned this Nov 11, 2017

@bsyomov

This comment has been minimized.

Show comment
Hide comment
@bsyomov

bsyomov Nov 23, 2017

Мы можем средствами nginx выставить другое значение заголовка вида: X-Frame-Options: ALLOW-FROM uri, надо только знать, откуда разрешать.

bsyomov commented Nov 23, 2017

Мы можем средствами nginx выставить другое значение заголовка вида: X-Frame-Options: ALLOW-FROM uri, надо только знать, откуда разрешать.

@mbaev

This comment has been minimized.

Show comment
Hide comment
@mbaev

mbaev Nov 23, 2017

Contributor

Там надо динамически. Разрешать, когда запрос идёт с сайта.

Contributor

mbaev commented Nov 23, 2017

Там надо динамически. Разрешать, когда запрос идёт с сайта.

@bsyomov

This comment has been minimized.

Show comment
Hide comment
@bsyomov

bsyomov Nov 24, 2017

С какого сайта?
Инициируется этот запрос в метрике - обратной связи этого действия, с чем-либо на сайте, который встраивается нет. Надо просто разрешить соответствующему url метрики встраивать сайт в iframe.
Как ты предлагаешь, это делать динамически в принципе?

bsyomov commented Nov 24, 2017

С какого сайта?
Инициируется этот запрос в метрике - обратной связи этого действия, с чем-либо на сайте, который встраивается нет. Надо просто разрешить соответствующему url метрики встраивать сайт в iframe.
Как ты предлагаешь, это делать динамически в принципе?

@mbaev

This comment has been minimized.

Show comment
Hide comment
@mbaev

mbaev Nov 24, 2017

Contributor

У нас метрика собирается JSом и отправляется в Яндекс, здесь всё норм, ничего делать не надо.
Когда кто-то открывает карту кликов в Яндекс.Метрике то, та страница пытается встроить на свою страницу drupal.ru через iframe.
image

В этот момент drupal.ru может определить, что запрос идёт с http://webvisor.com/ и переопределить заголовок с "SAMEORIGIN" на "ALLOW-FROM http://webvisor.com/".
По всем остальным запросам будет выдавать "SAMEORIGIN"

Contributor

mbaev commented Nov 24, 2017

У нас метрика собирается JSом и отправляется в Яндекс, здесь всё норм, ничего делать не надо.
Когда кто-то открывает карту кликов в Яндекс.Метрике то, та страница пытается встроить на свою страницу drupal.ru через iframe.
image

В этот момент drupal.ru может определить, что запрос идёт с http://webvisor.com/ и переопределить заголовок с "SAMEORIGIN" на "ALLOW-FROM http://webvisor.com/".
По всем остальным запросам будет выдавать "SAMEORIGIN"

@bsyomov

This comment has been minimized.

Show comment
Hide comment
@bsyomov

bsyomov Nov 24, 2017

А зачем вообще эта сложность. Т.е. чем это практически отличается от "ALLOW-FROM http://webvisor.com/" в нашем случае?

А также, стоит посмотреть на Content-Security-Policy(frame-ancestors).

bsyomov commented Nov 24, 2017

А зачем вообще эта сложность. Т.е. чем это практически отличается от "ALLOW-FROM http://webvisor.com/" в нашем случае?

А также, стоит посмотреть на Content-Security-Policy(frame-ancestors).

@mbaev

This comment has been minimized.

Show comment
Hide comment
@mbaev

mbaev Nov 24, 2017

Contributor

Видимостью, думаю. В заголовках не будет светиться кому мы разрешаем и это хорошо

Contributor

mbaev commented Nov 24, 2017

Видимостью, думаю. В заголовках не будет светиться кому мы разрешаем и это хорошо

@bsyomov

This comment has been minimized.

Show comment
Hide comment
@bsyomov

bsyomov Nov 24, 2017

В этом случае, такая "конспирация" лишняя - метрика-то видно что подключена... Собственно, именно это и всё, что можно установить по этому заголовку.

bsyomov commented Nov 24, 2017

В этом случае, такая "конспирация" лишняя - метрика-то видно что подключена... Собственно, именно это и всё, что можно установить по этому заголовку.

@mbaev

This comment has been minimized.

Show comment
Hide comment
@mbaev

mbaev Nov 24, 2017

Contributor

Нет, я не думаю, что такое поведение лишнее. Это нормальная практика. Если завтра нам понадобится разрешить вставку сайта для другого домена, то всё равно нужно будет делать так.

Contributor

mbaev commented Nov 24, 2017

Нет, я не думаю, что такое поведение лишнее. Это нормальная практика. Если завтра нам понадобится разрешить вставку сайта для другого домена, то всё равно нужно будет делать так.

@bsyomov

This comment has been minimized.

Show comment
Hide comment
@bsyomov

bsyomov Nov 25, 2017

Если нам завтра это понадобится, то да, нам тоже придётся применить этот костыль, который призван обойти ограниченность не продуманного стандарта.

Но зачем его применять сразу? И какова вероятность того, что его придётся применять?
Ну и в любом случае, его надо реализовывать на уровне веб сервера, а не приложения, т.к. мы можем начать использовать, например, статическое кеширование страниц, и до бутстрапа drupal процесс доходить не будет, вообще.

bsyomov commented Nov 25, 2017

Если нам завтра это понадобится, то да, нам тоже придётся применить этот костыль, который призван обойти ограниченность не продуманного стандарта.

Но зачем его применять сразу? И какова вероятность того, что его придётся применять?
Ну и в любом случае, его надо реализовывать на уровне веб сервера, а не приложения, т.к. мы можем начать использовать, например, статическое кеширование страниц, и до бутстрапа drupal процесс доходить не будет, вообще.

@mbaev

This comment has been minimized.

Show comment
Hide comment
@mbaev

mbaev Dec 3, 2017

Contributor

image

Contributor

mbaev commented Dec 3, 2017

image

@mbaev mbaev closed this Dec 3, 2017

@mbaev mbaev added this to the 4-ое Декабря 2017 milestone Dec 3, 2017

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment