Umfragequiz auf anderer Website als iFrame zeigen

More
6 months 2 weeks ago #197139 by andrew28
Ich möchte ein einfaches Quiz mit jeweils drei vorgegebenen Antworten in einem iFrame zu zeigen.
Auf der Basis von Version 2.6.7-lts Build 171212 klappte das auch immer problemlos und sehr stabil.

Siehe hier: musikschulwelt.de/musik-und-freizeit/raetsel

Nun möchte ich das Ganze aktualisieren und auf Basis von Version 3.22.10+200323 zeigen. Doch das klappt nicht:

musikschulwelt.de/frametest zeigt nach dem ersten "weiter": Der CSRF-Token konnte nicht verifiziert werden.

Ich habe schon mit der .htaccess von der Website, auf der Limesurvey liegt, herumprobiert. Ich habe die Zulässigkeit von iFrames hier eingestellt. Aber es klappt nicht.

Welche Einstellung ist hier wohl falsch?
Fragt in die Runde mit besten Grüßen

Andrew

Anwender - leider kein Informatiker

Please Log in to join the conversation.

LimeSurvey Partners
More
6 months 2 weeks ago #197177 by holch
In 3.x solltest du unter "Globale Einstellungen" -> "Sicherheit" etwas finden das sich "IFrame-Einbettung erlaubt:*" nennt. So sieht es jedenfalls in der 4 aus und die 3 sollte das auch so handhaben.

I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.

Please Log in to join the conversation.

More
6 months 2 weeks ago #197178 by holch
Gerade nochmal geschaut, sieht unter 3.x genauso aus. Standard dürfte "same origin" sein, weil sicherer.

I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.

Please Log in to join the conversation.

More
6 months 2 weeks ago #197191 by andrew28
Voreingestellt ist unter "Globale Einstellungen - Sicherheit" ja "IFRame-Einbettung erlaubt - Gleicher Ursprung", was wohl heißt, nur wenn der IFrame unter derselben Website-Adresse genutzt wird.

Zunächst wurde dadurch auf musikschulwelt angezeigt: "Blockiert durch X-Frame-Options-Richtlinie".

Ich hatte die Einstellung daher bereits auf "Erlauben" geändert. Offensichtlich lässt sich das nur generell einstellen, nicht für einzelne Surveys? Nun zeigte sich die erste Frage, aber wie bereits geschildert - beim Klick auf "weiter" erscheint leider jetzt
"400: Falsche Anfrage. Der CSRF-Token konnte nicht verifiziert werden."

Anwender - leider kein Informatiker

Please Log in to join the conversation.

More
6 months 2 weeks ago #197195 by Joffm
Hallo, kann ich so reproduzieren.
Wenn Studie und einbettende Applikation auf zwei verschiedenen Domains laufen (also ich habe zwei verschiedene Pakete bei Strato), kommt diese Fehlermeldung.

Ich habe es nur geschafft, wenn beide in derselben Strato-Umgebung liefen; auch in verschiedenen Unterdomains.
(und auch nur mit Einstellung "Erlauben")

Das nützt jetzt nicht viel, aber vielleicht könnt Ihr da ein bisschen fummeln.

Joffm


Volunteers are not paid.
Not because they are worthless, but because they are priceless

Please Log in to join the conversation.

More
6 months 2 weeks ago - 6 months 2 weeks ago #197204 by andrew28
Naja, mit Fummeln ist das so eine Sache... denn wir wollen perspektisch Kunden anbieten, das als IFrame in deren Websites einzubinden. Die Blockade scheint ja auch seitens des LimeSurvey-Tools zu erfolgen. Es muss ja was mit Sicherheitseinstellungen zu tun haben. Eigentlich sollte das über die .htaccess steuerbar sein, die im Limesurvey-Pfad ja gesondert liegt.

In der .htaccess unter Version 2 war noch nichts eigetragen.
In der .htaccess unter Version 3 findet sich:

# XSS protection
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
<FilesMatch "\.(svgz?)$">
Header set Content-Security-Policy "default-src 'none'; frame-ancestors 'none'; style-src 'self' 'unsafe-inline'"
</FilesMatch>
</IfModule>

Ich habe dann hinter frame-ancestors das 'none' durch musikschulwelt.de/* ersetzt, leider mit keinem Effekt. Auch frame-src musikschulwelt.de ; führt nicht weiter.

Anwender - leider kein Informatiker
Last edit: 6 months 2 weeks ago by andrew28.

Please Log in to join the conversation.

More
6 months 2 weeks ago #197207 by Joffm
"Fummeln" sollte auch nur heißen:

ICH habe keine Ahnung. Ist im Grunde nicht mein Metier" ;)

Joffm


Volunteers are not paid.
Not because they are worthless, but because they are priceless

Please Log in to join the conversation.

More
6 months 2 weeks ago #197217 by jelo

andrew28 wrote: Ich hatte die Einstellung daher bereits auf "Erlauben" geändert. Offensichtlich lässt sich das nur generell einstellen, nicht für einzelne Surveys?

Korrekt.


Ich rate erstmal zum Update auf Release 3.22.13+200415 und erneute Prüfung.


Um andere Fehlerquellen auszuschließen, kann man danach auch mal testweise die YiiSecurity-Prüfung ausstellen.

// Disable CSRF protection
        'request' => array(
            'enableCsrfValidation'=>false,    
            ),

manual.limesurvey.org/Optional_settings#URL_settings

Falls das Fehlerbild damit verschwindet, sollte die Prüfung in Produktivumgebungen wieder eingeschaltet werden und eine Fehlermeldung im Bugtracker erstellt werden.

The meaning of the word "stable" for users
www.limesurvey.org/forum/development/117...ord-stable-for-users

Please Log in to join the conversation.

More
6 months 2 weeks ago #197222 by andrew28
Hallo jelo, die Prüfung mit diesem Code in der config.php hat leider keine Änderung der Meldung erbracht.

Anwender - leider kein Informatiker

Please Log in to join the conversation.

More
6 months 2 weeks ago #197228 by jelo

andrew28 wrote: Hallo jelo, die Prüfung mit diesem Code in der config.php hat leider keine Änderung der Meldung erbracht.

Was meist darauf zurückzuführen ist, dass die Settings nicht an der richtigen Stelle (innerhalb von 'components' => array) in config.php platziert werden. Reine Mutmaßung, da ich ja die config.php nicht vor Augen habe.

Ich warte mal, bis das Update von LS3 auf 3.22.13+200415 bei dir läuft.

The meaning of the word "stable" for users
www.limesurvey.org/forum/development/117...ord-stable-for-users

Please Log in to join the conversation.

More
6 months 2 weeks ago #197238 by andrew28
So - update auf 3.22.13. gemacht, kein Effekt.

In der config php geändert:

'config'=>array(
// debug: Set this to 1 if you are looking for errors. If you still get no errors after enabling this
// then please check your error-logs - either in your hosting provider admin panel or in some /logs directory
// on your webspace.
// LimeSurvey developers: Set this to 2 to additionally display STRICT PHP error messages and get full access to standard templates
'debug'=>0,
'debugsql'=>0, // Set this to 1 to enanble sql logging, only active when debug = 2
// Update default LimeSurvey config here
// Disable CSRF protection
'request' => array(
'enableCsrfValidation'=>false,
),
)
);
/* End of file config.php */

... auch kein Effekt. Oder ist mir hier ein Fehler bei der Plazierung unterlaufen?

Anwender - leider kein Informatiker

Please Log in to join the conversation.

More
6 months 1 week ago #197426 by andrew28
So - ich habe nun mal ein Support-Ticket angefertigt.
Mal sehen, was LimeSurvey dazu meint...

Anwender - leider kein Informatiker

Please Log in to join the conversation.

More
2 months 1 week ago #204119 by ch123
Hey Andrew.
Hast du inzwischen eine Lösung für das Problem gefunden? Ich habe ein sehr ähnliches Problem, das aktuell auftritt ...
Danke!

Please Log in to join the conversation.

More
2 months 1 week ago #204121 by Joffm
Hallo,
anscheinend nicht.
Schau Dir einfach einmal die im ersten Post genannte Seite an.
Im Moment wird das Rätsel als Image dargestellt, welches den LimeSurvey-Teil aufruft.

Du solltest Dein "ähnliches" Problem einmal etwas ausführlicher schildern.

Bis dann
Joffm


Volunteers are not paid.
Not because they are worthless, but because they are priceless

Please Log in to join the conversation.

More
2 months 1 week ago - 2 months 1 week ago #204123 by ch123
Da hast du wohl recht - dachte, dass er es vielleicht parallel auf einer anderen Seite gelöst hat oder Ähnliches :)

Ich habe eine kleine Navigationsoberfläche, über die verschiedene Befragungen via iFrame eingebettet sind. Ich hatte damit vor einiger Zeit schon einmal ein Problem (hier geschildert: forums.limesurvey.org/forum/can-i-do-thi...urveys-in-app#200801 )... nachdem ich aber wieder auf Version 3.19 zurück bin, ging es tatsächlich die ganze Zeit. Jetzt treten wieder Probleme auf.

Meine neueste Theorie:
Inzwischen habe ich aber herausgefunden, das es wohl auch an meinem Browser liegen könnte - und damit natürlich gar nichts mit LimeSurvey und hier ist nicht das richtige Forum. Anscheinend gibt es eine neue Sicherheitseinstellung bei Chrome, dass alle Cookies, die nicht SameSiteCookies sind, secure sein müssen oder so ( www.chromium.org/updates/same-site ) - das sind ja CSFR Cookies, oder? Zumindest wurde mir in einer Fehlermeldung etwas davon angezeigt (kann ich gerade leider nicht mehr reproduzieren, sonst würde ich einen Screenshot schicken). So ganz verstehe ich das zwar nicht, habe davon eher keine Ahnung. Aber mit einer älteren Version von Chrome (oder einem anderen Browser) funktioniert es.
Aber da muss ich wohl mal mit den Entwicklern der Navigationsoberfläche sprechen ... vielleicht lässt sich das ja für meinen speziellen Fall irgendwie anders lösen.
Klingt das für dich irgendwie plausibel oder kann das eher nicht der Grund sein @Joffm? Also falls du dich mit so etwas auskennst :D
Last edit: 2 months 1 week ago by ch123.

Please Log in to join the conversation.

Start now!

Just create your account and start using Limesurvey today.

Register now