установлен запрет на отображение страницы во фрейме как исправить
Запрет отображения страницы во фрейме Битрикс
В данной заметке рассматривается решение относительно распространенной проблемы с Яндекс Метрикой у сайтов на Битриксе (возможно, что и на других CMS эта проблема существует, но у автора проблемы были только на битриксе): При открытии, например, «Карты кликов» в Метрике показано сообщение: «Невозможно воспроизвести посещение на данной странице. Возможные причины: Не установлен код счётчика Установлен запрет на отображение страницы во фрейме«. Собственно, ниже и представлено решение данной проблемы для 1С-bitrix. Данное решение основано на переписке с ТП Метрики и Битрикса и изучения различных источников (форумов, блогов), где люди сталкивались с аналогичной проблемой.
Итак, проблема достаточно распространенная и известная. Смоделировать её можно достаточно легко: Заходите в свой аккаунт Метрики, переходите в раздел «Карты» > «Карта ссылок» и видите следующее сообщение:
Если вы уверены, что счетчик установлен (посещения страниц засчитываются, цели отрабатывают корректно и т.п.), то, вероятно, проблема на стороне CMS и/или сервера. Для её устранения нужно последовательно выполнить 3 следующих шага (на каждом этапе проверяя, не решило ли выполнение шага проблему)
Шаг 1. Добавление исключений в «Защите от фреймов»
В админке сайта следует перейти в «Настройки» > «Проактивная защита» > «Защита от фреймов»
На открывшейся странице будет вкладка «Исключения». В неё нужно вписать (по одной строчке в каждое поле):
После применения настроек следует подождать какое-то время (желательно почистив кеш сайта) и посмотреть, помогло ли данное решение.
Шаг 2. Отключение «Защиты от фреймов»
На той же странице есть вкладка «Защита от фреймов». Перейдя на неё, следует нажать кнопку «Отключить….» — это, очевидно, отключит ограничение работы во фрейме для данного сайта. Далее, почистить кеш, подождать какое-то время. Если это не помогло, то следует перейти к шагу 3.
Шаг 3. Заголовок x-frame-options: SAMEORIGIN
В самом деле, это самая распространенная проблема. И она уже не в CMS, а на сервере. У автора данной заметки, к слову, проблема была именно в этом. Решается всё достаточно просто: Внесением изменения в конфигурацию сервера — через ТП хостинга, или же самостоятельно. В данном случае, это не имеет значения.
Как узнать, что сервер отдает такой заголовок? Автор пользуется следующим бесплатным сервисом. В принципе, свою задачу он выполняет.
Результат проверки без данного заголовка:
Результат проверки с данным заголовком:
В заключение, стоит сказать, что логично начать проверку с последнего шага — и если вы видите блокировку X-frame, то начать с решения этого вопроса.
Невозможно воспроизвести посещение на данной странице. Возможные причины ошибки в Вебвизоре Яндекса
Вы здесь
Иногда может возникнуть ситуация, когда не работает вебвизор в метрике. При попытке просмотреть запись посещения выскакивает сообщение об ошибке примерно с таким текстом:
Невозможно воспроизвести посещение на данной странице. Возможные причины:
Сначала вообще проверим, включен ли у нас вебвизор в настройках счетчика. Быстро проверить это можно перейдя в режим просмотра кода (Ctrl+U). Ищем там код метрики и вызов вебвизора, а именно строку webvisor:true.
Если вебвизор не воспроизводит, но код на странице есть, тогда у нас осталось несколько вариантов:
Вариант 1. Не работает вебвизор в метрике по причине блокировки клиентом
Доступ к ним может быть закрыт антивирусом, фаерволом или на уровне корпоративной сети. Добавьте эти адреса в список доверенных и проверьте, осталась ли проблема.
Если проблема осталась, то попробуйте зайти с «чистого» браузера, где нет плагинов (особенно блокировщиков рекламы и антивирусных аддонов).
Этот подход в большинсве случаев решает проблему воспроизведения в вебвизоре на уровне клиента.
Вариант 2. Установлен запрет на отображение страницы во фрейме
Тут всё немного сложнее. Но определить ошибку достаточно просто. Для этого в Яндекс Метрике:
Если стоит блокировка показа сайта во фрейме, то в консоли вы увидите строчку X-Frame-Options: SAMEORIGIN, которая говорит, что данный сайт:
Сейчас идет активная работа над внедрением разрешения показов в ифреймах выбранного хоста, но пока это решение браузерами не поддерживается.
Убрать этот запрет — значит осознанно внести на сайт уязвимость.
Поэтому каждый разработчик использует на свой страх и риск.
Чтобы убедиться, что на сайте действительно стоит запрет, и по этой причине не работает вебвизор в яндекс метрике, можно еще проверить ответ сервера в любом доступном сервисе, например здесь. Вводим адрес нашей страницы и получаем такой результат:
Мы видим эту строчку, значит причина найдена!
Как снять запрет показа страницы во фрейме?
Тут тоже может быть несколько вариантов. Запрет может стоять на уровне:
Например, в WordPress базовая защита стоит на уровне скрипта (wp-includes/functions.php). Или она может вызываться через плагин безопасности (известно, что плагин Security Pack может давать такой эффект).
Но и тут нет ничего сложного. Нужно просто пробежаться по файлам системы управления и поиском по фразе найти нужные файлы, из которых вырезать (или закомментить нужную строку). Нужная строка, это: header(«X-Frame-Options:sameorigin»);
Как убрать запрет в CMS Drupal?
В друпале начиная с версий 7.50 заголовок X-Frame-Options: SAMEORIGIN внедрен как система безопасности на уровне ядра по умолчанию. И это правильно! Но все же если вам нужно его отключить, советую воспользоваться самым простым на мой взгляд способом. Для этого переходим в /sites/default/setting.php, и в любом удобном месте (советую в самом конце) вставляем следующий код:
После этого снова проверяем ответ сервера, и теперь мы должны получить следующее:
Также для для управления заголовком X-Frame-Options для Друпал уже создан модуль Panels HTTP Response Header Pane, но как по мне проще прописать одну строку в файле конфигурации чем устанавливать несколько модулей для решения одной задачи.
Большая часть статьи была позаимствована с этого сайта
Установлен запрет на отображение страницы во фрейме как исправить
Иногда пользователи Яндек.Метрика жалуются, что не работает вебвизор. При попытке посмотреть запись посещения появляется информация об ошибке, например «На странице не обнаружен код счетчика либо стоит блок на показ страницы во фрейме».
Если перестал работать webvisor, сначала необходимо проверить, включен ли он вообще. Делать это нужно через настройки счетчика. Существует быстрый путь проверки – нажмите комбинацию клавиш Ctrl+U, перед вами откроется страница кода. Найдите на ней код метрики и включение вебвизора. Вам нужна строка webvisor:true.
В случае, если нужный код на странице прописан, но webvisor все равно не работает, причины, почему не работает плеер вебвизора в метрике, могут быть следующими:
Рассмотрим подробнее все варианты, а также способы исправления проблемы.
Браузер использует блокировщик рекламы
Если не работает карта кликов по этой причине, вы можете легко исправить проблему. Для этого выполните такие шаги:
Сервер блокирует приложение
Если проблема появилась из-за запрета на демонстрацию страниц во фрейме, готовьтесь повозиться. Сначала необходимо определить ошибку наверняка. Это делается просто, нужно лишь соблюдать такие шаги:
Перед вами появится перечень ошибок, и есть одна из строк подсветилась красным, это и есть причина вашей проблемы.
Если обнаружена блокировка демонстрации ресурса во фрейме, консоль выделит строку X-Frame-Options: SAMEORIGIN. Она означает, что эта страница:
Многие программисты работают над тем, чтобы решить проблему запрета, но пока это можно сделать лишь путем, включающим увеличение уязвимости ресурса. Поэтому перед тем, как убирать запрет, задайте себе вопрос: что вам важнее, безопасность сайте или работа вебвизора?
Фаервол блокирует приложение
Сначала убедитесь, что есть свободный доступ к:
Блокировать доступ к вышеперечисленным ресурсам может фаервол, антивирус либо ограничений корпоративной сети. Путь исправления очень простой – необходимо добавить вышеуказанные ресурсы в перечень доверенных. После убедитесь, что проблема устранена. Если этого не случилось, зайдите с «пустого» браузера, в которой отсутствуют плагины разных типов (в особенности антивирусные аддоны и блокировщики рекламного контента).
Этот способ в 99% ситуаций полностью устраняет причину проблемы и вебвизор начинает воспроизводиться на уровне пользователя.
Header: X-Frame-Options
Повышаем уровень безопасности сайта: запрещаем отображать свой сайт в iframe.
Заголовок X-Frame-Options: запрет на отображение страницы во фрейме
От чего защищает?
— от атак типа «кликджекинг» (англ. Clickjacking).
На русский переводится дословно, как «воровство кликов». Суть заключается в том что ваш сайт запускают по фрейме на стороннем ресурсе, затем по верх кнопок и других элементов накладываю ссылки на запуск вредоносных программ, либо иных мошеннических действий.
В черном SEO, одним из методов является отображение сайта конкурента во фрейме и дальнейшие различные манипуляции с таким полученным содержимым.
Google:
Избегайте использования окон iFrame или создавайте отдельные ссылки на их содержание
Содержание, отображаемое с помощью iFrame, не индексируется и не показывается в результатах поиска Google. Использовать окна iFrame для отображения содержания не рекомендуется. Если вы применяете эту технологию, не забудьте добавить дополнительные текстовые ссылки на их содержание, чтобы робот Googlebot мог просканировать его и внести в индекс.
Яндекс:
Google и Яндекс могут сканировать содержимое iFrame, но при этом такие страницы в индекс попасть могут только в редких случаях.
Одними из методов манипуляций является искажение ПФ, внедрение вирусов и т.п. Если даже проиндексируется такой контент во фрейме на атакующем сайте, то будет эффект как при междоменном дублировании контента.
Примеры внедрения кода
Файл nginx.conf (для конфигурации Nginx):
Мета-тег:
Основные правила
Делаем исключение для Вебвизора Яндекс.Метрики
Если в Вебвизоре Метрики появляется сообщение:
«Не установлен код счетчика или установлен запрет на отображение страницы во фрейме».
В htaccess не прописываем или убираем код. Затем ставим защиту в виде php-скрипта до начала рендеренга страницы:
Как проверить?
Корректность настройки заголовка можно проверить с помощью этого сервиса: SecurityHeaders.
Не работает Вебвизор при включенном X-Frame-Options
Владельцем сайтов рекомендуется запрещать отображение страниц во фреймах на сторонних доменах, что защитит от атак типа clickjacking и некоторых других. Особенно актуально это для интернет-магазинов и сервисов.
Примером такой атаки может быть случай, когда под видом надежного сайта, злоумышленник у себя на домене подсовывает пользователям вредоносный код. Вариантов применения масса — подписка на ресурс в социальной сети, кража конфиденциальной информации, совершение покупок в интернет-магазинах за чужой счёт.
И вообще, если вы не YouTube, то не стоит, без видимой причины разрешать кому попало отображать у себя содержимое вашего сайта.
Не единственный, но рекомендуемый на сегодня способ запрета отображения веб-страницы внутри фрейма — использование заголовка X-Frame-Options, однако и он не идеален и иногда приводит к проблемам, например к некорректной работе Вебвизора в Яндекс.Метрике.
Разбираемся как настроить защиту и что делать если проблемы все таки-возникают.
Что такое X-Frame-Options
Заголовок HTTP ответа от сервера X-Frame-Options служит инструкцией для браузера, он разрешает или запрещает отображение страниц вашего сайта во фрейме. Может иметь три значения:
SAMEORIGIN
Разрешает загрузку страниц сайта во фрейме только если фрейм и страница расположены на одном домене.
DENY
Запрещает загрузку во фрейме.
ALLOW-FROM domain
Разрешает загрузку во фрейме только для указанного домена, не работает для Safari и Firefox.
Защита от фреймов в 1С-Битрикс
В 1С-Битрикс ограничение работы во фрейме включается на странице «Защита от фреймов» (Настройки — Проактивная защита — Защита от фреймов).
На вкладке «Исключения», можно указать страницы сайта, для которых ограничения не будут применяться. Также добавить свою страницу в исключения можно определив константу B_SECURITY_FRAME в значение false, до подключения ядра.
Важно! Чтобы данный функционал 1С-Битрикс корректно работал, заголовок X-Frame-Options на сервере должен быть установлен в значение SAMEORIGIN (как это сделать, читайте далее). Если заголовок отсутствует или установлен в значение отличное от рекомендуемого, «Сканер безопасности» 1С-Битрикс расценит это как потенциальную угрозу сайту и будет показывать соответствующее предупреждение в своём журнале.
Как настроить X-Frame-Options на Nginx
1. Найти секцию server, отвечающую за обработку запросов нужного сайта. Как правило это файлы в /etc/nginx/site-enabled/*.conf
Для версий Bitrix VM ниже 7.0 и чистого nginx скорее всего это будет файл /etc/nginx/nginx.conf или etc/nginx/bx/conf/bitrix.conf
Для Bitrix VM 7.0 и выше заголовок вынесен в отдельный файл /etc/nginx/bx/conf/http-add_header.conf
2. В секцию server нужного сайта добавить или закомментировать строку в зависимости от того хотите вы включить использование заголовка или выключить:
3. Перезапустить nginx
Как настроить X-Frame-Options на Apache
1. Найти конфигурационный файл для вашего сайта, зачастую это файлы /etc/apache2/httpd.conf, /etc/apache2/vhost.d/*.conf
2. Добавить или закомментировать строки в зависимости от того хотите вы включить использование заголовка или выключить:
3. Перезапустить Apache
Решение проблем
Если вы используете сервисы, которым необходимо открытие вашего сайта во фрейме то ограничение работы во фрейме скорее всего приведёт к тому, что эти сервисы перестанут работать или будут работать некорректно.
Самой известной проблемой является некорректная работа Вебвизора от Яндекс. Данные собираются валидно, но при попытке просмотреть запись посещения возникает ошибка: «Невозможно воспроизвести посещение на данной странице. Возможные причины: Не установлен код счётчика или установлен запрет на отображение страницы во фрейме.»
Варианты добавления в конфиги исключений сводят всю идею X-Frame-Options на ноль, так как могут быть легко подделаны. Поэтому варианты типа приведенного ниже могут использоваться, но не рекомендуются.
Для решения проблемы вам придётся сделать выбор: либо сервис (в данном случае вебвизор), либо безопасность, других вариантов пока к сожалению не существует.
Полезные ссылки
На этом всё. Но вы можете поддержать проект. Даже небольшая сумма поможет нам писать больше полезных статей.
Если статья помогла или понравилась, пожалуйста поделитесь ей в соцсетях.