Отключить блокировку фреймов для Яндекс-метрики в BitrixEnv и БУС

Рейтинг: 14.6966

На голосовании

Предложил

Пользователь 25773 28.12.2015 12:20:55

Отключить блокировку фреймов для Яндекс-метрики в BitrixEnv и БУС

В /etc/nginx/nginx.conf есть

add_header X-Frame-Options SAMEORIGIN;

Из-за SAMEORIGIN не работает просмотр сайта через новую Яндекс-метрику во фрейме. Нельзя посмотреть карту ссылок и прочее.

Яндекс рекомендует:

if ($http_referer !~ "^https?://([^/]+metrika.*yandex\.(ru|ua|com|com\.tr|by|kz)|([^/]+\.)?webvisor\.com)/"){
  add_header X-Frame-Options SAMEORIGIN;
}

Отключите add_header X-Frame-Options SAMEORIGIN в ngixn для метрики и добавьте подобную опцию в "Битрикс управление сайтом".

Рейтинг: -2.3335

Ответил

Красичков Андрей 28.12.2015 16:51:11

Это частный кейс, который, требует частного решения - правки конфигов под нужды проекта. Конфигурация виртуальной машины слишком общая, дабы делать какие-то хаки для конкретных third-party ресурсов. Тем более, что проверка referer'а в целом сомнительное решение.

Быть может лучшим решением было бы посмотреть в сторону CSP (Content Security Policy). Таким образом:
1. Оставляем "X-Frame-Options: SAMEORIGIN" в покое
2. Настраиваем CSP с учетом необходимостей вашего проекта. В том числе и frame-ancestors (Chrome 40+, FF 33+)

И как бонус, повысите безопасность проекта в целом. Разумеется, при условии адекватной настройки CSP

Безопасность nginx, seo, администрирование, безопасность

Комментариев: 8

Рейтинг: 0

Пользователь 390462 28.12.2015 13:56:22

ага. я даже фрейм отключал в дефайнах, не помогло(

Рейтинг: 0

Пользователь 25773 28.12.2015 18:38:33

Быть может лучшим решением было бы посмотреть в сторону CSP (Content Security Policy). Таким образом: 
1. Оставляем "X-Frame-Options: SAMEORIGIN" в покое 
2. Настраиваем CSP с учетом необходимостей вашего проекта. В том числе и frame-ancestors (Chrome   40+, FF 33+)

Попробуйте объяснить это клиенту или Яндексу.

Рейтинг: 0

Пользователь 1756 05.01.2016 20:28:22

Я уже предлагал http://idea.1c-bitrix.ru/sitesexceptions-to-the-protection-from-frames/
Судя по голосам, это мало кому нужно.

Рейтинг: 0

Пользователь 25773 06.01.2016 09:55:53

Я уже предлагал http://idea.1c-bitrix.ru/sitesexceptions-to-the-protection-from-frames/
Судя по голосам, это мало кому нужно.

add_header X-Frame-Options SAMEORIGIN; не зависит от защиты от фреймов в Битриксе.

Хотя ваша идея с исключениями хорошая.

Рейтинг: 1.9089

Пользователь 184949 22.01.2016 10:08:07

Андрей, в какой такой параллельной вселенной это "частный кейс"?
В моей практике абсолютно на всех сайтах стоит яндекс-метрика.

Рейтинг: 1

Пользователь 320605 18.03.2016 12:47:24

В итоге есть решение данной проблемы или нет?

Рейтинг: 1

Пользователь 320605 18.03.2016 12:48:19

В итоге есть решение данной проблемы или нет?

Рейтинг: 1.1965

Пользователь 281960 20.05.2016 10:11:05

Актуально! Поддерживаю! Когда столкнулись с проблемой админ предлагал каждый раз, когда необходимо провести анализ в метрике добавлять исключение, а по окончанию работ он это исключение убирал из настроек. Очень неудобно.