- Posts: 47
- Thank you received: 3
Welcome to the LimeSurvey Community Forum
Ask the community, share ideas, and connect with other LimeSurvey users!
Umfragequiz auf anderer Website als iFrame zeigen
- andrew28
- Topic Author
- Offline
- Senior Member
Less
More
3 years 11 months ago #197139
by andrew28
Anwender - leider kein Informatiker
Umfragequiz auf anderer Website als iFrame zeigen was created by andrew28
Ich möchte ein einfaches Quiz mit jeweils drei vorgegebenen Antworten in einem iFrame zu zeigen.
Auf der Basis von Version 2.6.7-lts Build 171212 klappte das auch immer problemlos und sehr stabil.
Siehe hier: musikschulwelt.de/musik-und-freizeit/raetsel
Nun möchte ich das Ganze aktualisieren und auf Basis von Version 3.22.10+200323 zeigen. Doch das klappt nicht:
musikschulwelt.de/frametest zeigt nach dem ersten "weiter": Der CSRF-Token konnte nicht verifiziert werden.
Ich habe schon mit der .htaccess von der Website, auf der Limesurvey liegt, herumprobiert. Ich habe die Zulässigkeit von iFrames hier eingestellt. Aber es klappt nicht.
Welche Einstellung ist hier wohl falsch?
Fragt in die Runde mit besten Grüßen
Andrew
Auf der Basis von Version 2.6.7-lts Build 171212 klappte das auch immer problemlos und sehr stabil.
Siehe hier: musikschulwelt.de/musik-und-freizeit/raetsel
Nun möchte ich das Ganze aktualisieren und auf Basis von Version 3.22.10+200323 zeigen. Doch das klappt nicht:
musikschulwelt.de/frametest zeigt nach dem ersten "weiter": Der CSRF-Token konnte nicht verifiziert werden.
Ich habe schon mit der .htaccess von der Website, auf der Limesurvey liegt, herumprobiert. Ich habe die Zulässigkeit von iFrames hier eingestellt. Aber es klappt nicht.
Welche Einstellung ist hier wohl falsch?
Fragt in die Runde mit besten Grüßen
Andrew
Anwender - leider kein Informatiker
The topic has been locked.
- holch
- Offline
- LimeSurvey Community Team
Less
More
- Posts: 11758
- Thank you received: 2753
3 years 11 months ago #197177
by holch
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
Replied by holch on topic Umfragequiz auf anderer Website als iFrame zeigen
In 3.x solltest du unter "Globale Einstellungen" -> "Sicherheit" etwas finden das sich "IFrame-Einbettung erlaubt:*" nennt. So sieht es jedenfalls in der 4 aus und die 3 sollte das auch so handhaben.
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
The topic has been locked.
- holch
- Offline
- LimeSurvey Community Team
Less
More
- Posts: 11758
- Thank you received: 2753
3 years 11 months ago #197178
by holch
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
Replied by holch on topic Umfragequiz auf anderer Website als iFrame zeigen
Gerade nochmal geschaut, sieht unter 3.x genauso aus. Standard dürfte "same origin" sein, weil sicherer.
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
The topic has been locked.
- andrew28
- Topic Author
- Offline
- Senior Member
Less
More
- Posts: 47
- Thank you received: 3
3 years 11 months ago #197191
by andrew28
Anwender - leider kein Informatiker
Replied by andrew28 on topic Umfragequiz auf anderer Website als iFrame zeigen
Voreingestellt ist unter "Globale Einstellungen - Sicherheit" ja "IFRame-Einbettung erlaubt - Gleicher Ursprung", was wohl heißt, nur wenn der IFrame unter derselben Website-Adresse genutzt wird.
Zunächst wurde dadurch auf musikschulwelt angezeigt: "Blockiert durch X-Frame-Options-Richtlinie".
Ich hatte die Einstellung daher bereits auf "Erlauben" geändert. Offensichtlich lässt sich das nur generell einstellen, nicht für einzelne Surveys? Nun zeigte sich die erste Frage, aber wie bereits geschildert - beim Klick auf "weiter" erscheint leider jetzt
"400: Falsche Anfrage. Der CSRF-Token konnte nicht verifiziert werden."
Zunächst wurde dadurch auf musikschulwelt angezeigt: "Blockiert durch X-Frame-Options-Richtlinie".
Ich hatte die Einstellung daher bereits auf "Erlauben" geändert. Offensichtlich lässt sich das nur generell einstellen, nicht für einzelne Surveys? Nun zeigte sich die erste Frage, aber wie bereits geschildert - beim Klick auf "weiter" erscheint leider jetzt
"400: Falsche Anfrage. Der CSRF-Token konnte nicht verifiziert werden."
Anwender - leider kein Informatiker
The topic has been locked.
- Joffm
- Offline
- LimeSurvey Community Team
Less
More
- Posts: 12790
- Thank you received: 3940
3 years 11 months ago #197195
by Joffm
Volunteers are not paid.
Not because they are worthless, but because they are priceless
Replied by Joffm on topic Umfragequiz auf anderer Website als iFrame zeigen
Hallo, kann ich so reproduzieren.
Wenn Studie und einbettende Applikation auf zwei verschiedenen Domains laufen (also ich habe zwei verschiedene Pakete bei Strato), kommt diese Fehlermeldung.
Ich habe es nur geschafft, wenn beide in derselben Strato-Umgebung liefen; auch in verschiedenen Unterdomains.
(und auch nur mit Einstellung "Erlauben")
Das nützt jetzt nicht viel, aber vielleicht könnt Ihr da ein bisschen fummeln.
Joffm
Wenn Studie und einbettende Applikation auf zwei verschiedenen Domains laufen (also ich habe zwei verschiedene Pakete bei Strato), kommt diese Fehlermeldung.
Ich habe es nur geschafft, wenn beide in derselben Strato-Umgebung liefen; auch in verschiedenen Unterdomains.
(und auch nur mit Einstellung "Erlauben")
Das nützt jetzt nicht viel, aber vielleicht könnt Ihr da ein bisschen fummeln.
Joffm
Volunteers are not paid.
Not because they are worthless, but because they are priceless
The topic has been locked.
- andrew28
- Topic Author
- Offline
- Senior Member
Less
More
- Posts: 47
- Thank you received: 3
3 years 11 months ago - 3 years 11 months ago #197204
by andrew28
Anwender - leider kein Informatiker
Replied by andrew28 on topic Umfragequiz auf anderer Website als iFrame zeigen
Naja, mit Fummeln ist das so eine Sache... denn wir wollen perspektisch Kunden anbieten, das als IFrame in deren Websites einzubinden. Die Blockade scheint ja auch seitens des LimeSurvey-Tools zu erfolgen. Es muss ja was mit Sicherheitseinstellungen zu tun haben. Eigentlich sollte das über die .htaccess steuerbar sein, die im Limesurvey-Pfad ja gesondert liegt.
In der .htaccess unter Version 2 war noch nichts eigetragen.
In der .htaccess unter Version 3 findet sich:
# XSS protection
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
<FilesMatch "\.(svgz?)$">
Header set Content-Security-Policy "default-src 'none'; frame-ancestors 'none'; style-src 'self' 'unsafe-inline'"
</FilesMatch>
</IfModule>
Ich habe dann hinter frame-ancestors das 'none' durch musikschulwelt.de/* ersetzt, leider mit keinem Effekt. Auch frame-src musikschulwelt.de ; führt nicht weiter.
In der .htaccess unter Version 2 war noch nichts eigetragen.
In der .htaccess unter Version 3 findet sich:
# XSS protection
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
<FilesMatch "\.(svgz?)$">
Header set Content-Security-Policy "default-src 'none'; frame-ancestors 'none'; style-src 'self' 'unsafe-inline'"
</FilesMatch>
</IfModule>
Ich habe dann hinter frame-ancestors das 'none' durch musikschulwelt.de/* ersetzt, leider mit keinem Effekt. Auch frame-src musikschulwelt.de ; führt nicht weiter.
Anwender - leider kein Informatiker
Last edit: 3 years 11 months ago by andrew28.
The topic has been locked.
- Joffm
- Offline
- LimeSurvey Community Team
Less
More
- Posts: 12790
- Thank you received: 3940
3 years 11 months ago #197207
by Joffm
Volunteers are not paid.
Not because they are worthless, but because they are priceless
Replied by Joffm on topic Umfragequiz auf anderer Website als iFrame zeigen
"Fummeln" sollte auch nur heißen:
ICH habe keine Ahnung. Ist im Grunde nicht mein Metier"
Joffm
ICH habe keine Ahnung. Ist im Grunde nicht mein Metier"
Joffm
Volunteers are not paid.
Not because they are worthless, but because they are priceless
The topic has been locked.
- jelo
- Offline
- Platinum Member
Less
More
- Posts: 5070
- Thank you received: 1263
3 years 11 months ago #197217
by jelo
Ich rate erstmal zum Update auf Release 3.22.13+200415 und erneute Prüfung.
Um andere Fehlerquellen auszuschließen, kann man danach auch mal testweise die YiiSecurity-Prüfung ausstellen.
manual.limesurvey.org/Optional_settings#URL_settings
Falls das Fehlerbild damit verschwindet, sollte die Prüfung in Produktivumgebungen wieder eingeschaltet werden und eine Fehlermeldung im Bugtracker erstellt werden.
The meaning of the word "stable" for users
www.limesurvey.org/forum/development/117...ord-stable-for-users
Replied by jelo on topic Umfragequiz auf anderer Website als iFrame zeigen
Korrekt.andrew28 wrote: Ich hatte die Einstellung daher bereits auf "Erlauben" geändert. Offensichtlich lässt sich das nur generell einstellen, nicht für einzelne Surveys?
Ich rate erstmal zum Update auf Release 3.22.13+200415 und erneute Prüfung.
Um andere Fehlerquellen auszuschließen, kann man danach auch mal testweise die YiiSecurity-Prüfung ausstellen.
Code:
// Disable CSRF protection 'request' => array( 'enableCsrfValidation'=>false, ),
manual.limesurvey.org/Optional_settings#URL_settings
Falls das Fehlerbild damit verschwindet, sollte die Prüfung in Produktivumgebungen wieder eingeschaltet werden und eine Fehlermeldung im Bugtracker erstellt werden.
The meaning of the word "stable" for users
www.limesurvey.org/forum/development/117...ord-stable-for-users
The topic has been locked.
- andrew28
- Topic Author
- Offline
- Senior Member
Less
More
- Posts: 47
- Thank you received: 3
3 years 11 months ago #197222
by andrew28
Anwender - leider kein Informatiker
Replied by andrew28 on topic Umfragequiz auf anderer Website als iFrame zeigen
Hallo jelo, die Prüfung mit diesem Code in der config.php hat leider keine Änderung der Meldung erbracht.
Anwender - leider kein Informatiker
The topic has been locked.
- jelo
- Offline
- Platinum Member
Less
More
- Posts: 5070
- Thank you received: 1263
3 years 11 months ago #197228
by jelo
Ich warte mal, bis das Update von LS3 auf 3.22.13+200415 bei dir läuft.
The meaning of the word "stable" for users
www.limesurvey.org/forum/development/117...ord-stable-for-users
Replied by jelo on topic Umfragequiz auf anderer Website als iFrame zeigen
Was meist darauf zurückzuführen ist, dass die Settings nicht an der richtigen Stelle (innerhalb von 'components' => array) in config.php platziert werden. Reine Mutmaßung, da ich ja die config.php nicht vor Augen habe.andrew28 wrote: Hallo jelo, die Prüfung mit diesem Code in der config.php hat leider keine Änderung der Meldung erbracht.
Ich warte mal, bis das Update von LS3 auf 3.22.13+200415 bei dir läuft.
The meaning of the word "stable" for users
www.limesurvey.org/forum/development/117...ord-stable-for-users
The topic has been locked.
- andrew28
- Topic Author
- Offline
- Senior Member
Less
More
- Posts: 47
- Thank you received: 3
3 years 11 months ago #197238
by andrew28
Anwender - leider kein Informatiker
Replied by andrew28 on topic Umfragequiz auf anderer Website als iFrame zeigen
So - update auf 3.22.13. gemacht, kein Effekt.
In der config php geändert:
'config'=>array(
// debug: Set this to 1 if you are looking for errors. If you still get no errors after enabling this
// then please check your error-logs - either in your hosting provider admin panel or in some /logs directory
// on your webspace.
// LimeSurvey developers: Set this to 2 to additionally display STRICT PHP error messages and get full access to standard templates
'debug'=>0,
'debugsql'=>0, // Set this to 1 to enanble sql logging, only active when debug = 2
// Update default LimeSurvey config here
// Disable CSRF protection
'request' => array(
'enableCsrfValidation'=>false,
),
)
);
/* End of file config.php */
... auch kein Effekt. Oder ist mir hier ein Fehler bei der Plazierung unterlaufen?
In der config php geändert:
'config'=>array(
// debug: Set this to 1 if you are looking for errors. If you still get no errors after enabling this
// then please check your error-logs - either in your hosting provider admin panel or in some /logs directory
// on your webspace.
// LimeSurvey developers: Set this to 2 to additionally display STRICT PHP error messages and get full access to standard templates
'debug'=>0,
'debugsql'=>0, // Set this to 1 to enanble sql logging, only active when debug = 2
// Update default LimeSurvey config here
// Disable CSRF protection
'request' => array(
'enableCsrfValidation'=>false,
),
)
);
/* End of file config.php */
... auch kein Effekt. Oder ist mir hier ein Fehler bei der Plazierung unterlaufen?
Anwender - leider kein Informatiker
The topic has been locked.
- andrew28
- Topic Author
- Offline
- Senior Member
Less
More
- Posts: 47
- Thank you received: 3
3 years 11 months ago #197426
by andrew28
Anwender - leider kein Informatiker
Replied by andrew28 on topic Umfragequiz auf anderer Website als iFrame zeigen
So - ich habe nun mal ein Support-Ticket angefertigt.
Mal sehen, was LimeSurvey dazu meint...
Mal sehen, was LimeSurvey dazu meint...
Anwender - leider kein Informatiker
The topic has been locked.
Moderators: Joffm