Welcome to the LimeSurvey Community Forum

Ask the community, share ideas, and connect with other LimeSurvey users!

Umfragequiz auf anderer Website als iFrame zeigen

  • andrew28
  • andrew28's Avatar Topic Author
  • Offline
  • Senior Member
  • Senior Member
More
3 years 11 months ago #197139 by andrew28
Ich möchte ein einfaches Quiz mit jeweils drei vorgegebenen Antworten in einem iFrame zu zeigen.
Auf der Basis von Version 2.6.7-lts Build 171212 klappte das auch immer problemlos und sehr stabil.

Siehe hier: musikschulwelt.de/musik-und-freizeit/raetsel

Nun möchte ich das Ganze aktualisieren und auf Basis von Version 3.22.10+200323 zeigen. Doch das klappt nicht:

musikschulwelt.de/frametest zeigt nach dem ersten "weiter": Der CSRF-Token konnte nicht verifiziert werden.

Ich habe schon mit der .htaccess von der Website, auf der Limesurvey liegt, herumprobiert. Ich habe die Zulässigkeit von iFrames hier eingestellt. Aber es klappt nicht.

Welche Einstellung ist hier wohl falsch?
Fragt in die Runde mit besten Grüßen

Andrew

Anwender - leider kein Informatiker
The topic has been locked.
  • holch
  • holch's Avatar
  • Offline
  • LimeSurvey Community Team
  • LimeSurvey Community Team
More
3 years 11 months ago #197177 by holch
In 3.x solltest du unter "Globale Einstellungen" -> "Sicherheit" etwas finden das sich "IFrame-Einbettung erlaubt:*" nennt. So sieht es jedenfalls in der 4 aus und die 3 sollte das auch so handhaben.

I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.

The topic has been locked.
  • holch
  • holch's Avatar
  • Offline
  • LimeSurvey Community Team
  • LimeSurvey Community Team
More
3 years 11 months ago #197178 by holch
Gerade nochmal geschaut, sieht unter 3.x genauso aus. Standard dürfte "same origin" sein, weil sicherer.

I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.

The topic has been locked.
  • andrew28
  • andrew28's Avatar Topic Author
  • Offline
  • Senior Member
  • Senior Member
More
3 years 11 months ago #197191 by andrew28
Voreingestellt ist unter "Globale Einstellungen - Sicherheit" ja "IFRame-Einbettung erlaubt - Gleicher Ursprung", was wohl heißt, nur wenn der IFrame unter derselben Website-Adresse genutzt wird.

Zunächst wurde dadurch auf musikschulwelt angezeigt: "Blockiert durch X-Frame-Options-Richtlinie".

Ich hatte die Einstellung daher bereits auf "Erlauben" geändert. Offensichtlich lässt sich das nur generell einstellen, nicht für einzelne Surveys? Nun zeigte sich die erste Frage, aber wie bereits geschildert - beim Klick auf "weiter" erscheint leider jetzt
"400: Falsche Anfrage. Der CSRF-Token konnte nicht verifiziert werden."

Anwender - leider kein Informatiker
The topic has been locked.
  • Joffm
  • Joffm's Avatar
  • Offline
  • LimeSurvey Community Team
  • LimeSurvey Community Team
More
3 years 11 months ago #197195 by Joffm
Hallo, kann ich so reproduzieren.
Wenn Studie und einbettende Applikation auf zwei verschiedenen Domains laufen (also ich habe zwei verschiedene Pakete bei Strato), kommt diese Fehlermeldung.

Ich habe es nur geschafft, wenn beide in derselben Strato-Umgebung liefen; auch in verschiedenen Unterdomains.
(und auch nur mit Einstellung "Erlauben")

Das nützt jetzt nicht viel, aber vielleicht könnt Ihr da ein bisschen fummeln.

Joffm

Volunteers are not paid.
Not because they are worthless, but because they are priceless
The topic has been locked.
  • andrew28
  • andrew28's Avatar Topic Author
  • Offline
  • Senior Member
  • Senior Member
More
3 years 11 months ago - 3 years 11 months ago #197204 by andrew28
Naja, mit Fummeln ist das so eine Sache... denn wir wollen perspektisch Kunden anbieten, das als IFrame in deren Websites einzubinden. Die Blockade scheint ja auch seitens des LimeSurvey-Tools zu erfolgen. Es muss ja was mit Sicherheitseinstellungen zu tun haben. Eigentlich sollte das über die .htaccess steuerbar sein, die im Limesurvey-Pfad ja gesondert liegt.

In der .htaccess unter Version 2 war noch nichts eigetragen.
In der .htaccess unter Version 3 findet sich:

# XSS protection
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
<FilesMatch "\.(svgz?)$">
Header set Content-Security-Policy "default-src 'none'; frame-ancestors 'none'; style-src 'self' 'unsafe-inline'"
</FilesMatch>
</IfModule>

Ich habe dann hinter frame-ancestors das 'none' durch musikschulwelt.de/* ersetzt, leider mit keinem Effekt. Auch frame-src musikschulwelt.de ; führt nicht weiter.

Anwender - leider kein Informatiker
Last edit: 3 years 11 months ago by andrew28.
The topic has been locked.
  • Joffm
  • Joffm's Avatar
  • Offline
  • LimeSurvey Community Team
  • LimeSurvey Community Team
More
3 years 11 months ago #197207 by Joffm
"Fummeln" sollte auch nur heißen:

ICH habe keine Ahnung. Ist im Grunde nicht mein Metier" ;)

Joffm

Volunteers are not paid.
Not because they are worthless, but because they are priceless
The topic has been locked.
More
3 years 11 months ago #197217 by jelo

andrew28 wrote: Ich hatte die Einstellung daher bereits auf "Erlauben" geändert. Offensichtlich lässt sich das nur generell einstellen, nicht für einzelne Surveys?

Korrekt.


Ich rate erstmal zum Update auf Release 3.22.13+200415 und erneute Prüfung.


Um andere Fehlerquellen auszuschließen, kann man danach auch mal testweise die YiiSecurity-Prüfung ausstellen.

Code:
// Disable CSRF protection
        'request' => array(
            'enableCsrfValidation'=>false,    
            ),

manual.limesurvey.org/Optional_settings#URL_settings

Falls das Fehlerbild damit verschwindet, sollte die Prüfung in Produktivumgebungen wieder eingeschaltet werden und eine Fehlermeldung im Bugtracker erstellt werden.

The meaning of the word "stable" for users
www.limesurvey.org/forum/development/117...ord-stable-for-users
The topic has been locked.
  • andrew28
  • andrew28's Avatar Topic Author
  • Offline
  • Senior Member
  • Senior Member
More
3 years 11 months ago #197222 by andrew28
Hallo jelo, die Prüfung mit diesem Code in der config.php hat leider keine Änderung der Meldung erbracht.

Anwender - leider kein Informatiker
The topic has been locked.
More
3 years 11 months ago #197228 by jelo

andrew28 wrote: Hallo jelo, die Prüfung mit diesem Code in der config.php hat leider keine Änderung der Meldung erbracht.

Was meist darauf zurückzuführen ist, dass die Settings nicht an der richtigen Stelle (innerhalb von 'components' => array) in config.php platziert werden. Reine Mutmaßung, da ich ja die config.php nicht vor Augen habe.

Ich warte mal, bis das Update von LS3 auf 3.22.13+200415 bei dir läuft.

The meaning of the word "stable" for users
www.limesurvey.org/forum/development/117...ord-stable-for-users
The topic has been locked.
  • andrew28
  • andrew28's Avatar Topic Author
  • Offline
  • Senior Member
  • Senior Member
More
3 years 11 months ago #197238 by andrew28
So - update auf 3.22.13. gemacht, kein Effekt.

In der config php geändert:

'config'=>array(
// debug: Set this to 1 if you are looking for errors. If you still get no errors after enabling this
// then please check your error-logs - either in your hosting provider admin panel or in some /logs directory
// on your webspace.
// LimeSurvey developers: Set this to 2 to additionally display STRICT PHP error messages and get full access to standard templates
'debug'=>0,
'debugsql'=>0, // Set this to 1 to enanble sql logging, only active when debug = 2
// Update default LimeSurvey config here
// Disable CSRF protection
'request' => array(
'enableCsrfValidation'=>false,
),
)
);
/* End of file config.php */

... auch kein Effekt. Oder ist mir hier ein Fehler bei der Plazierung unterlaufen?

Anwender - leider kein Informatiker
The topic has been locked.
  • andrew28
  • andrew28's Avatar Topic Author
  • Offline
  • Senior Member
  • Senior Member
More
3 years 11 months ago #197426 by andrew28
So - ich habe nun mal ein Support-Ticket angefertigt.
Mal sehen, was LimeSurvey dazu meint...

Anwender - leider kein Informatiker
The topic has been locked.
Moderators: Joffm

Lime-years ahead

Online-surveys for every purse and purpose