Ich möchte ein einfaches Quiz mit jeweils drei vorgegebenen Antworten in einem iFrame zu zeigen.
Auf der Basis von Version 2.6.7-lts Build 171212 klappte das auch immer problemlos und sehr stabil.

Siehe hier: musikschulwelt.de/musik-und-freizeit/raetsel

Nun möchte ich das Ganze aktualisieren und auf Basis von Version 3.22.10+200323 zeigen. Doch das klappt nicht:

musikschulwelt.de/frametest zeigt nach dem ersten "weiter": Der CSRF-Token konnte nicht verifiziert werden.

Ich habe schon mit der .htaccess von der Website, auf der Limesurvey liegt, herumprobiert. Ich habe die Zulässigkeit von iFrames hier eingestellt. Aber es klappt nicht.

Welche Einstellung ist hier wohl falsch?
Fragt in die Runde mit besten Grüßen

Andrew

In 3.x solltest du unter "Globale Einstellungen" -> "Sicherheit" etwas finden das sich "IFrame-Einbettung erlaubt:*" nennt. So sieht es jedenfalls in der 4 aus und die 3 sollte das auch so handhaben.

Gerade nochmal geschaut, sieht unter 3.x genauso aus. Standard dürfte "same origin" sein, weil sicherer.

Voreingestellt ist unter "Globale Einstellungen - Sicherheit" ja "IFRame-Einbettung erlaubt - Gleicher Ursprung", was wohl heißt, nur wenn der IFrame unter derselben Website-Adresse genutzt wird.

Zunächst wurde dadurch auf musikschulwelt angezeigt: "Blockiert durch X-Frame-Options-Richtlinie".

Ich hatte die Einstellung daher bereits auf "Erlauben" geändert. Offensichtlich lässt sich das nur generell einstellen, nicht für einzelne Surveys? Nun zeigte sich die erste Frage, aber wie bereits geschildert - beim Klick auf "weiter" erscheint leider jetzt
"400: Falsche Anfrage. Der CSRF-Token konnte nicht verifiziert werden."

Hallo, kann ich so reproduzieren.
Wenn Studie und einbettende Applikation auf zwei verschiedenen Domains laufen (also ich habe zwei verschiedene Pakete bei Strato), kommt diese Fehlermeldung.

Ich habe es nur geschafft, wenn beide in derselben Strato-Umgebung liefen; auch in verschiedenen Unterdomains.
(und auch nur mit Einstellung "Erlauben")

Das nützt jetzt nicht viel, aber vielleicht könnt Ihr da ein bisschen fummeln.

Joffm

Naja, mit Fummeln ist das so eine Sache... denn wir wollen perspektisch Kunden anbieten, das als IFrame in deren Websites einzubinden. Die Blockade scheint ja auch seitens des LimeSurvey-Tools zu erfolgen. Es muss ja was mit Sicherheitseinstellungen zu tun haben. Eigentlich sollte das über die .htaccess steuerbar sein, die im Limesurvey-Pfad ja gesondert liegt.

In der .htaccess unter Version 2 war noch nichts eigetragen.
In der .htaccess unter Version 3 findet sich:

# XSS protection
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
<FilesMatch "\.(svgz?)$">
Header set Content-Security-Policy "default-src 'none'; frame-ancestors 'none'; style-src 'self' 'unsafe-inline'"
</FilesMatch>
</IfModule>

Ich habe dann hinter frame-ancestors das 'none' durch musikschulwelt.de/* ersetzt, leider mit keinem Effekt. Auch frame-src musikschulwelt.de ; führt nicht weiter.

"Fummeln" sollte auch nur heißen:

ICH habe keine Ahnung. Ist im Grunde nicht mein Metier"

Joffm

andrew28 wrote: Ich hatte die Einstellung daher bereits auf "Erlauben" geändert. Offensichtlich lässt sich das nur generell einstellen, nicht für einzelne Surveys?

Korrekt.


Ich rate erstmal zum Update auf Release 3.22.13+200415 und erneute Prüfung.


Um andere Fehlerquellen auszuschließen, kann man danach auch mal testweise die YiiSecurity-Prüfung ausstellen.


www.limesurvey.org/manual/Optional_settings#URL_settings

Falls das Fehlerbild damit verschwindet, sollte die Prüfung in Produktivumgebungen wieder eingeschaltet werden und eine Fehlermeldung im Bugtracker erstellt werden.

Hallo jelo, die Prüfung mit diesem Code in der config.php hat leider keine Änderung der Meldung erbracht.

andrew28 wrote: Hallo jelo, die Prüfung mit diesem Code in der config.php hat leider keine Änderung der Meldung erbracht.

Was meist darauf zurückzuführen ist, dass die Settings nicht an der richtigen Stelle (innerhalb von 'components' => array) in config.php platziert werden. Reine Mutmaßung, da ich ja die config.php nicht vor Augen habe.

Ich warte mal, bis das Update von LS3 auf 3.22.13+200415 bei dir läuft.

So - update auf 3.22.13. gemacht, kein Effekt.

In der config php geändert:

'config'=>array(
// debug: Set this to 1 if you are looking for errors. If you still get no errors after enabling this
// then please check your error-logs - either in your hosting provider admin panel or in some /logs directory
// on your webspace.
// LimeSurvey developers: Set this to 2 to additionally display STRICT PHP error messages and get full access to standard templates
'debug'=>0,
'debugsql'=>0, // Set this to 1 to enanble sql logging, only active when debug = 2
// Update default LimeSurvey config here
// Disable CSRF protection
'request' => array(
'enableCsrfValidation'=>false,
),
)
);
/* End of file config.php */

... auch kein Effekt. Oder ist mir hier ein Fehler bei der Plazierung unterlaufen?

So - ich habe nun mal ein Support-Ticket angefertigt.
Mal sehen, was LimeSurvey dazu meint...