עזרה | iframe משום מה לא עובד לי...
-
@איציק-דייטש מדובר בחסימה שהמתכנתים הטמיעו. בדרך כלל מפתחי אתרים חוסמים את האופציה ל-iframe (זה באמת יכול להיות בעייתי).
עי' עוד https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options לגבי ה headerX-Frame-Options
, מדובר ב header שאומר לדפדפן לחסום הטמעות מהאתר .
לגבי מה אפשר לעשות אם אתה בכל זאת רוצה להטמיע אתר שחוסם, אני לא כ"כ יודע בדיוק מה הצורך שלך, אולי אם תפרט יהיה יותר קל. -
@מוטי-אורן יש אפשרות להטמיע את מתמחים לקובץ מקומי במחשב שלי?
לא הבנתי מי חוסם את זה, האתר שמוטמע או האתר שמטמיעים בו? -
@איציק-דייטש האתר שמוטמע.
-
@מוטי-אורן אז נגיד מתמחים אני יוכל להטמיע בדרך כלשהו?
עריכה: בדקתי במעצבים (האתר שלי) אין שם שום תגית או משהו שכתוב x-frame! -
@איציק-דייטש זה לא תגית
-
@מוטי-אורן אההה, אוקיי... בכל מקרה יש אפשרות להתגבר על זה?
ומה עם יוטיוב? את זה גוגל כן מאפשרים? -
@איציק-דייטש אמר בעזרה | iframe משום מה לא עובד לי...:
את זה גוגל כן מאפשרים?
כן וודאי הם גם נותנים לך את הקוד המלא להטמעה
-
@אהרן-שובקס אוקיי, תודה רבה!
-
יש גם את האפשרות להשתמש באתר "פרוקסי" כגון:
https://jsonp.afeld.me/?url=
או להקים שרת משלך שעושה את אותו הדבר, ואז לא יהיה צורך בלהוריד את התוסף -
@מוטי-אורן אמר בעזרה | iframe משום מה לא עובד לי...:
כמו שאתה אומר, זה ממש לא מומלץ
זה לא שזה לא מומלץ (אולי גם), זה (גם) לא מועיל...
כי החסימה שלא תוכל לפתוח אתרים בiFrame קיימת אצל כל הציבור הרחב, ואם אתה בעצמך עקפת את זה - אתה מסודר, אבל לא פגעת בעצם הרעיון של החסימה - כי אצל הציבור זה נשאר חסום. -
@שמואל זה ברור. אבל מכיון ש @איציק-דייטש לא יכול לפרט מה הצורך שלו, היה לי צד שאולי הוא צריך את זה משום מה לצורך אישי, ואין לו עניין בזה לציבור הרחב.
אוקיי. לכל מי שלא הבין וגם למי שהבין, אני ינסה לעשות קצת סדר בדברים: הבעיה בהטמעות של iframe היא כזאת. אם כל אתר שלא יהיה יכול להטמיע אתר אחר בתוך תגית iframe, מה שיקרה זה שניתן לפגוע במשתמשי האתר באמצעות מתקפה מסויימת שנקראת Click jacking. הרעיון הוא כזה: אני שואב אתר כלשהו ע"י iframe לאתר שלי, מציג למשתמש מעל ה iframe תצוגה מסויימת או כפתור מסויים שנראה שהוא אמור לעשות פעולה כלשהיא, אבל מתחת התצוגה הזאת, מסתתר ה iframe. ומה שקורה, שהתוקף יכול ככה לגרום לאנשים שכלל לא התכוונו לכך ללחוץ על דברים שלא מרצונם (עי' עוד כאן).
באו מתכנתים ואמרו, יש לנו פיתרון. נדאג להוסיף header ל-HTTP headers, שהמשמעות שלו תהיה, האם לאפשר הטמעה מהאתר. אם וכאשר ה header הזה מוגדר לא לאפשר, הדפדפן ישלח בקשת GET לשרת, יקבל את התשובה עם כל המידע מהאתר, יעבור על ה-headers, יראה ש X-Frame-Option מוגדר לחסום, ויחסום את ה iframe מלעבד את המידע שהתקבל.
זאת אומרת: אם תיאורטית אותו תוקף הצליח להעביר את המותקף לדפדפן שהוא פיתח שלא מתייחס ל header הזה, הוא עדיין יכול לממש את התקיפה הזאת. -
@מוטי-אורן תודה רבה!!
הסבר מעולה!
בכל אופן נראלי שהסתדרתי עם הצורך שלי!
-