Отключить блокировку фреймов для Яндекс-метрики в BitrixEnv и БУС

Рейтинг: 11.8064  
На голосовании
Предложил Зайцев Артемий 28.12.2015 12:20:55

Отключить блокировку фреймов для Яндекс-метрики в BitrixEnv и БУС

В /etc/nginx/nginx.conf есть

add_header X-Frame-Options SAMEORIGIN;

Из-за SAMEORIGIN не работает просмотр сайта через новую Яндекс-метрику во фрейме. Нельзя посмотреть карту ссылок и прочее.

Яндекс рекомендует:
if ($http_referer !~ "^https?://([^/]+metrika.*yandex\.(ru|ua|com|com\.tr|by|kz)|([^/]+\.)?webvisor\.com)/"){
  add_header X-Frame-Options SAMEORIGIN;
}

Отключите add_header X-Frame-Options SAMEORIGIN в ngixn для метрики и добавьте подобную опцию в "Битрикс управление сайтом".
Рейтинг: -1.3335  
Ответил Красичков Андрей 28.12.2015 16:51:11
Это частный кейс, который, требует частного решения - правки конфигов под нужды проекта. Конфигурация виртуальной машины слишком общая, дабы делать какие-то хаки для конкретных third-party ресурсов. Тем более, что проверка referer'а в целом сомнительное решение.

Быть может лучшим решением было бы посмотреть в сторону CSP (Content Security Policy). Таким образом:
1. Оставляем "X-Frame-Options: SAMEORIGIN" в покое
2. Настраиваем CSP с учетом необходимостей вашего проекта. В том числе и frame-ancestors (Chrome 40+, FF 33+)


И как бонус, повысите безопасность проекта в целом. Разумеется, при условии адекватной настройки CSP

Рейтинг: 0  
BX Solutions 28.12.2015 13:56:22
ага. я даже фрейм отключал в дефайнах, не помогло(
Рейтинг: 0  
Зайцев Артемий 28.12.2015 18:38:33
Быть может лучшим решением было бы посмотреть в сторону CSP (Content Security Policy). Таким образом: 
1. Оставляем "X-Frame-Options: SAMEORIGIN" в покое 
2. Настраиваем CSP с учетом необходимостей вашего проекта. В том числе и frame-ancestors (Chrome   40+, FF 33+) 

Попробуйте объяснить это клиенту или Яндексу.
Рейтинг: 0  
Семочкин Михаил 05.01.2016 20:28:22
Я уже предлагал http://idea.1c-bitrix.ru/sitesexceptions-to-the-protection-from-frames/
Судя по голосам, это мало кому нужно.
Рейтинг: 0  
Зайцев Артемий 06.01.2016 09:55:53
Я уже предлагал http://idea.1c-bitrix.ru/sitesexceptions-to-the-protection-from-frames/
Судя по голосам, это мало кому нужно.
add_header X-Frame-Options SAMEORIGIN; не зависит от защиты от фреймов в Битриксе.

Хотя ваша идея с исключениями хорошая.
Рейтинг: 0.9089  
Махонин Павел 22.01.2016 10:08:07
Андрей, в какой такой параллельной вселенной это "частный кейс"?
В моей практике абсолютно на всех сайтах стоит яндекс-метрика.
Рейтинг: 0  
Зотов Артём 18.03.2016 12:47:24
В итоге есть решение данной проблемы или нет?
Рейтинг: 0  
Зотов Артём 18.03.2016 12:48:19
В итоге есть решение данной проблемы или нет?
Рейтинг: 0.1965  
Slawin 20.05.2016 10:11:05
Актуально! Поддерживаю! Когда столкнулись с проблемой админ предлагал каждый раз, когда необходимо провести анализ в метрике добавлять исключение, а по окончанию работ он это исключение убирал из настроек. Очень неудобно.