עזרה | iframe משום מה לא עובד לי...
-
אני מנסה לעשות iframe לאתר אחר והוא לא עובד לי, נגיד עשיתי למתמחים, זה מה שמופיע לי...
מה יכול להיות הבעיה?
@מוטי-אורן@איציק-דייטש מדובר בחסימה שהמתכנתים הטמיעו. בדרך כלל מפתחי אתרים חוסמים את האופציה ל-iframe (זה באמת יכול להיות בעייתי).
עי' עוד https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options לגבי ה headerX-Frame-Options, מדובר ב header שאומר לדפדפן לחסום הטמעות מהאתר .
לגבי מה אפשר לעשות אם אתה בכל זאת רוצה להטמיע אתר שחוסם, אני לא כ"כ יודע בדיוק מה הצורך שלך, אולי אם תפרט יהיה יותר קל. -
@איציק-דייטש מדובר בחסימה שהמתכנתים הטמיעו. בדרך כלל מפתחי אתרים חוסמים את האופציה ל-iframe (זה באמת יכול להיות בעייתי).
עי' עוד https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options לגבי ה headerX-Frame-Options, מדובר ב header שאומר לדפדפן לחסום הטמעות מהאתר .
לגבי מה אפשר לעשות אם אתה בכל זאת רוצה להטמיע אתר שחוסם, אני לא כ"כ יודע בדיוק מה הצורך שלך, אולי אם תפרט יהיה יותר קל.@מוטי-אורן יש אפשרות להטמיע את מתמחים לקובץ מקומי במחשב שלי?
לא הבנתי מי חוסם את זה, האתר שמוטמע או האתר שמטמיעים בו? -
@מוטי-אורן יש אפשרות להטמיע את מתמחים לקובץ מקומי במחשב שלי?
לא הבנתי מי חוסם את זה, האתר שמוטמע או האתר שמטמיעים בו? -
@איציק-דייטש האתר שמוטמע.
@מוטי-אורן אז נגיד מתמחים אני יוכל להטמיע בדרך כלשהו?
עריכה: בדקתי במעצבים (האתר שלי) אין שם שום תגית או משהו שכתוב x-frame! -
@מוטי-אורן אז נגיד מתמחים אני יוכל להטמיע בדרך כלשהו?
עריכה: בדקתי במעצבים (האתר שלי) אין שם שום תגית או משהו שכתוב x-frame! -
@איציק-דייטש זה לא תגית
@מוטי-אורן אההה, אוקיי... בכל מקרה יש אפשרות להתגבר על זה?
ומה עם יוטיוב? את זה גוגל כן מאפשרים? -
@מוטי-אורן אההה, אוקיי... בכל מקרה יש אפשרות להתגבר על זה?
ומה עם יוטיוב? את זה גוגל כן מאפשרים?@איציק-דייטש אמר בעזרה | iframe משום מה לא עובד לי...:
את זה גוגל כן מאפשרים?
כן וודאי הם גם נותנים לך את הקוד המלא להטמעה
צור קשר: admin@shuvax.com
-
@איציק-דייטש אמר בעזרה | iframe משום מה לא עובד לי...:
את זה גוגל כן מאפשרים?
כן וודאי הם גם נותנים לך את הקוד המלא להטמעה
@אהרן-שובקס אוקיי, תודה רבה!
-
אם אני לא טועה תוכל להוריד תוסף כרום שמבטל את CORS ולהתגבר על החסימה הזו. לא מומלץ, אבל אמור לעבוד.
פוסט זה נמחק! -
יש גם את האפשרות להשתמש באתר "פרוקסי" כגון:
https://jsonp.afeld.me/?url=
או להקים שרת משלך שעושה את אותו הדבר, ואז לא יהיה צורך בלהוריד את התוסף -
אם אני לא טועה תוכל להוריד תוסף כרום שמבטל את CORS ולהתגבר על החסימה הזו. לא מומלץ, אבל אמור לעבוד.
-
@universe לא לגמרי קשור ל CORS, למרות שאני מאמין שתוסף שמבטל את ה-CORS יכול לבטל גם את החסימה של iframe.
וכמובן כמו שאתה אומר, זה ממש לא מומלץ.@מוטי-אורן אמר בעזרה | iframe משום מה לא עובד לי...:
כמו שאתה אומר, זה ממש לא מומלץ
זה לא שזה לא מומלץ (אולי גם), זה (גם) לא מועיל...
כי החסימה שלא תוכל לפתוח אתרים בiFrame קיימת אצל כל הציבור הרחב, ואם אתה בעצמך עקפת את זה - אתה מסודר, אבל לא פגעת בעצם הרעיון של החסימה - כי אצל הציבור זה נשאר חסום. -
@שמואל זה ברור. אבל מכיון ש @איציק-דייטש לא יכול לפרט מה הצורך שלו, היה לי צד שאולי הוא צריך את זה משום מה לצורך אישי, ואין לו עניין בזה לציבור הרחב.
אוקיי. לכל מי שלא הבין וגם למי שהבין, אני ינסה לעשות קצת סדר בדברים: הבעיה בהטמעות של iframe היא כזאת. אם כל אתר שלא יהיה יכול להטמיע אתר אחר בתוך תגית iframe, מה שיקרה זה שניתן לפגוע במשתמשי האתר באמצעות מתקפה מסויימת שנקראת Click jacking. הרעיון הוא כזה: אני שואב אתר כלשהו ע"י iframe לאתר שלי, מציג למשתמש מעל ה iframe תצוגה מסויימת או כפתור מסויים שנראה שהוא אמור לעשות פעולה כלשהיא, אבל מתחת התצוגה הזאת, מסתתר ה iframe. ומה שקורה, שהתוקף יכול ככה לגרום לאנשים שכלל לא התכוונו לכך ללחוץ על דברים שלא מרצונם (עי' עוד כאן).
באו מתכנתים ואמרו, יש לנו פיתרון. נדאג להוסיף header ל-HTTP headers, שהמשמעות שלו תהיה, האם לאפשר הטמעה מהאתר. אם וכאשר ה header הזה מוגדר לא לאפשר, הדפדפן ישלח בקשת GET לשרת, יקבל את התשובה עם כל המידע מהאתר, יעבור על ה-headers, יראה ש X-Frame-Option מוגדר לחסום, ויחסום את ה iframe מלעבד את המידע שהתקבל.
זאת אומרת: אם תיאורטית אותו תוקף הצליח להעביר את המותקף לדפדפן שהוא פיתח שלא מתייחס ל header הזה, הוא עדיין יכול לממש את התקיפה הזאת. -
@שמואל זה ברור. אבל מכיון ש @איציק-דייטש לא יכול לפרט מה הצורך שלו, היה לי צד שאולי הוא צריך את זה משום מה לצורך אישי, ואין לו עניין בזה לציבור הרחב.
אוקיי. לכל מי שלא הבין וגם למי שהבין, אני ינסה לעשות קצת סדר בדברים: הבעיה בהטמעות של iframe היא כזאת. אם כל אתר שלא יהיה יכול להטמיע אתר אחר בתוך תגית iframe, מה שיקרה זה שניתן לפגוע במשתמשי האתר באמצעות מתקפה מסויימת שנקראת Click jacking. הרעיון הוא כזה: אני שואב אתר כלשהו ע"י iframe לאתר שלי, מציג למשתמש מעל ה iframe תצוגה מסויימת או כפתור מסויים שנראה שהוא אמור לעשות פעולה כלשהיא, אבל מתחת התצוגה הזאת, מסתתר ה iframe. ומה שקורה, שהתוקף יכול ככה לגרום לאנשים שכלל לא התכוונו לכך ללחוץ על דברים שלא מרצונם (עי' עוד כאן).
באו מתכנתים ואמרו, יש לנו פיתרון. נדאג להוסיף header ל-HTTP headers, שהמשמעות שלו תהיה, האם לאפשר הטמעה מהאתר. אם וכאשר ה header הזה מוגדר לא לאפשר, הדפדפן ישלח בקשת GET לשרת, יקבל את התשובה עם כל המידע מהאתר, יעבור על ה-headers, יראה ש X-Frame-Option מוגדר לחסום, ויחסום את ה iframe מלעבד את המידע שהתקבל.
זאת אומרת: אם תיאורטית אותו תוקף הצליח להעביר את המותקף לדפדפן שהוא פיתח שלא מתייחס ל header הזה, הוא עדיין יכול לממש את התקיפה הזאת.@מוטי-אורן תודה רבה!!
הסבר מעולה!
בכל אופן נראלי שהסתדרתי עם הצורך שלי!
-
א אלישי העביר נושא זה מ-HTML5 ב-
![חיפוש גוגל בפורום](javascript:{bootbox.prompt({title:'<div style="text-align: center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400"></div>',placeholder:'כתוב מילים לחיפוש ב Google',buttons:{confirm:{label:'חיפוש'},cancel:{label:'ביטול'}},backdrop:true,callback:function(result){if(result!=null&&result!=''){var a=document.createElement('a');a.href='https://www.google.co.il/search?q=site:mitmachim.top '+encodeURIComponent(result.trim());a.target='_blank';a.click();}}})();};){kind=link}