Главная-Word-Запрет на отображение страницы во фрейме: что делать? Установлен запрет на отображение страницы во фрейме: что делать.

Запрет на отображение страницы во фрейме: что делать? Установлен запрет на отображение страницы во фрейме: что делать.

«Вебвизор» – это один из инструментов яндекс метрики, который позволяет изучать поведение пользователя на сайте посредством анимирования действий пользователя, на страницах где установлен счетчик. На данный момент времени данная система использует фреймы, с которыми в некоторых случаях могут возникать проблемы. Проблема заключается в следующем: вебвизор перестает работать в метрике, а при попытке просмотра записи поведения пользователя, может появляться ошибка с текстом — «На странице не найден код счетчика или установлен запрет на отображение страницы во фрейме ». Чтобы решить эту проблему нужно проделать немного манипуляций, чтобы определить, в чем заключается проблема, а проблема может быть в нескольких местах.

Проверяем, подключен ли счетчик
Возможно, по каким-либо причинам кода счетчика не оказалось на страницах вашего сайта, поэтому нужно начать с самого банального – проверить наличие подключенного счетчика на ваших страницах. Открываем исходный код, и смотрим, подключен ли код счетчика.

Проверяем, нет ли проблем на вашей стороне
Бывает, что проблема может находиться на стороне клиентской части, к примеру, блокироваться дополнениями браузера, антивирусом, и другими программами. Проверяем доступ к metrika.yandex.ru , mc.yandex.ru , *.yandex.net , бывает, что доступ могут прикрывать фаерволы на уровне корпоративной сети, этот момент так же следует учитывать.

Проверяем, нет ли запрета на стороне сервера
Из соображений безопасности на многих веб-серверах блокируется возможность отображения страниц сайта во фреймах. Убирать защиту крайне не рекомендуется, и в качестве решения можно оставить возможность использования фреймов только лишь для яндекс метрики, и об этом мы поговорим далее.

Как понять, блокирует ли фреймы сервер или нет?
Чтобы узнать есть ли запрет на стороне веб-сервера нам необходимо просмотреть заголовки ответа вашего сайта. Просмотреть заголовки ответа вы можете открыв консоль разработчика в браузере (Ctrl+F12), либо с помощью какого-либо онлайн-сервиса, например этот .

После появления заголовков ответа, нас интересует наличие строки:
X-Frame-Options: SAMEORIGIN

Данная строка обозначает то, что показ во фреймах разрешается только лишь с текущего хоста, а значит, с любых других это сделать нельзя, и вебвизор в этом случае попадает под запрет. Как правило, подобные заголовки отправляет веб-сервер, и нам предстоит сделать небольшое исключение показа во фреймах для яндекс метрики. Большинство веб-серверов работают на Nginx, по этой причине подправим немного настройки для виртуального хоста.

Разрешаем веб-визор в Nginx
Так как Nginx уже отправляет заголовок для всех виртуальных хостов, нам необходимо найти конфигурационный файл, откуда этот заголовок подключается. По умолчанию в системе Linux конфигурационные файлы располагаются в директории /etc/nginx/, и имена файлов оканчиваются на *.conf. Вам предстоит найти файл, в котором и прописываются заголовок, а так же закомментировать его:

# add_header X-Frame-Options SAMEORIGIN;

После этого в настройках виртуального хоста прописать небольшое правило, которое будет запрещать все попытки использования фреймов на сторонних доменах кроме доменного имени *.webvisor.com .

Location / { set $frame_options ""; if ($http_referer !~ "^https?:\/\/([^\/]+\.)?(yourdomain\.com|webvisor\.com)\/"){ set $frame_options "SAMEORIGIN"; } add_header X-Frame-Options $frame_options; ... }

Обратите внимание, что в исключение добавляется субдомен, там, где указано yourdomain.com – вы прописываете свой. После внесений изменений в конфигурационный файл, необходимо перезапустить Nginx, чтобы параметры вступили в силу. При использовании других серверов, их так же следует настроить таким образом, чтобы заголовок X-Frame-Options не отправлялся для вебвизора.
Если вы делаете отправку заголовков через скрипты, то вы можете воспользоваться регулярным выражением для проверки:

^https?:\/\/([^\/]+\.)?(yourdomain\.com|webvisor\.com)\/

Таким образом, возможность использования вебвизора сохранится для вашего сайта, и не придется намерено оставлять эту часть не защищенной.

Иногда может возникнуть ситуация, когда не работает вебвизор в метрике. При попытке просмотреть запись посещения выскакивает сообщение об ошибке примерно с таким текстом:

На странице не найден код счетчика или установлен запрет на отображение страницы во фрейме

Сначала вообще проверим, включен ли у нас вебвизор в настройках счетчика. Быстро проверить это можно перейдя в режим просмотра кода (Ctrl+U). Ищем там код метрики и вызов вебвизора, а именно строку webvisor:true.

Если вебвизор не воспроизводит, но код на странице есть, тогда у нас осталось несколько вариантов:

  • блокировка со стороны клиентского браузера
  • блокировка со стороны сервера (пресловутый запрет на показ страницы во фрейме)

Вариант 1. Не работает вебвизор в метрике по причине блокировки клиентом

В этом случае необходимо убедиться, что есть доступ:

  • к metrika.yandex.ru и mc.yandex.ru
  • к *.yandex.net (если в настройках вебвизора выбрано «Загрузка страниц в плеер — от имени анонимного пользователя», то также доступ до ресурса)

Доступ к ним может быть закрыт антивирусом, фаерволом или на уровне корпоративной сети. Добавьте эти адреса в список доверенных и проверьте, осталась ли проблема.

Если проблема осталась, то попробуйте зайти с «чистого» браузера, где нет плагинов (особенно блокировщиков рекламы и антивирусных аддонов).

Этот подход в 99% случаев решает проблему воспроизведения в вебвизоре на уровне клиента.

Вариант 2. Установлен запрет на отображение страницы во фрейме

Тут всё немного сложнее. Но определить ошибку достаточно просто. Для этого в Яндекс Метрике:

  1. Откройте страницу вебвизора или карт, нажмите F12 (должны открыться инструменты разработчика);
  2. Выберите вкладку «консоль»;
  3. Перезагрузите страницу;
  4. В списке ошибок вы увидите строку, подсвеченную красным, где будет написано про возникшую проблему.

Если стоит блокировка показа сайта во фрейме, то в консоли вы увидите строчку X-Frame-Options: SAMEORIGIN , которая говорит, что данный сайт:

  • можно показывать во фреймах текущего хоста,
  • нельзя с любых других хостов.

Сейчас идет активная работа над внедрением разрешения показов в ифреймах выбранного хоста, но пока это решение браузерами не поддерживается (поправите меня, когда ситуация поменяется) .

Убрать этот запрет — значит осознанно внести на сайт уязвимость.

Поэтому каждый разработчик использует на свой страх и риск (например, в 1С-Битрикс так прямо и говорят: вам дороже безопасность сайта или то, что вебвизор не воспроизводит действия посетителей?).

Чтобы убедиться, что на сайте действительно стоит запрет, и по этой причине не работает вебвизор в яндекс метрике, нам нужно проверить ответ сервера в любом доступном сервисе, например . Вводим адрес нашей страницы и получаем такой результат:

Результат проверки ответа сервера

Мы видим эту строчку, значит причина найдена!

Как снять запрет показа страницы во фрейме?

Тут тоже может быть несколько вариантов. Запрет может стоять на уровне:

  • конфигурации сервера . Если у вас виртуальный хостинг, то без помощи техподдержки проблему не решить.
  • файла htaccess . Этот конфигурационный файл находится в корневой директории. Открываете его и удаляете нужную строчку.
  • скрипта . Многие CMS зашивают отправку данного заголовка в свои библиотеки безопасности, и вычислить их бывает достаточно сложно.

Например, в WordPress базовая защита стоит на уровне скрипта (wp-includes/functions.php). Или она может вызываться через плагин безопасности (известно, что плагин Security Pack может давать такой эффект).

Но и тут нет ничего сложного. Нужно просто пробежаться по файлам системы управления и поиском по фразе найти нужные файлы, из которых вырезать (или закомментить нужную строку). Нужная строка, это: header(«X-Frame-Options:sameorigin»);

Если у вас сайт находится на nic.ru (Ru-Center), то необходимо перевести его из автоматического в режим ручного управления, и далее удалить строку с запретом из файла ~/etc/nginx/имя_сайта.site. conf.

Удачной вам аналитики!

Возвращаясь к теме защиты контента сайта, нужно упомянуть еще защиту от просмотра сайта во фрейме другого сайта. Кроме того, что никто не сможет таким способом использовать ваш контент, в какой-то мере это поможет защититься от DDoS-атак, когда на сайте с большой посещаемостью ставится скрытый iframe со ссылкой на атакуемый сайт. Посещая основной сайт, пользователи помимо своей воли открывают также и сайт-жертву, создавая огромную нагрузку на него. Такие инциденты уже неоднократно происходили. В этой статье я попытался собрать различные способы защиты сайтов от открытия во фрейме и различные способы их преодоления.

Первый способ защиты основан на скриптах JavaScript. Его суть сводится к тому, что проверяется соответствие top-окна открытой странице, если они не совпадают, значит страница открыта во фрейме. При обнаружении такой несправедливости браузер перенаправляется на другую страницу. Я использую вот такой вариант скрипта для "побега" из фрейма:Есть еще один похожий вариант, который делает почти то же самое:И, наконец, скрипт, останавливающий загрузку страницы, если она открывается во фрейме. На мой взгляд, очень сомнительный способ.Все эти скрипты, понятное дело, должны находиться на защищаемом сайте. Долгое время все эти способы прекрасно работали, пока в HTML5 не появился специальный атрибут тега iframe - sandbox , который позволяет установить ограничения на контент, загружаемый во фрейме. Если этот атрибут имеет пустое значение, то на любой странице, которая открыта в этом фрейме, скрипты выполняться не будут. Соответственно, не выполнится и скрипт для "побега"."Песочница" поддерживается всеми современными браузерами (список браузеров и версии вы можете посмотреть ).

Для борьбы с "песочницей" я вижу только один вариант: часть контента сайта надо загружать динамически при помощи скриптов. Даже если страницу и удастся открыть во фрейме, запретив скрипты, то защищенная часть контента все равно будет недоступна.

Против первых двух скриптов, с помощью которых страница пытается "выпрыгнуть" из фрейма, поможет следующий скрипт, основанный на событии onbeforeunload , которое наступает, когда фрейм пытается подменить основную страницу.Браузер выдаст предупреждение, достаточно отменить переход и все, родительская страница на месте и во фрейме открыта нужная страница. Скрипты на ней при этом нормально выполняются. Не забывайте только снимать обработчик onbeforeunload , когда фрейм будет полностью загружен, иначе это же сообщение появится при любом переходе со страницы.

Для противодействия трюку с onbeforeunload надо использовать скрипт "Frame-Killer #3" или же вызывать первые два с небольшим интервалом.Рано или поздно пользователю наскучит диалог предупреждения, и, даже если защищенная страница откроется, нормально поработать с ней все равно не получится. А при использовании этого метода в браузерах Firefox и Chrome предупреждение об уходе вообще появилось только один раз, после чего страница спокойно "выпрыгнула" из фрейма.

На этом цепочку противостояния хитрой жопы и хера с винтом лучше остановить и перейти к защите на стороне сервера. Чтобы установить полный запрет загрузки вашего сайта во фреймах на других ресурсах, достаточно добавить в заголовки ответа сервера новый заголовок "X-Frame-Options". У заголовка может быть одно из трех значений:

  • SAMEORIGIN - Страница откроется во фрейме только в том случае, когда родительский документ расположен на том же домене. Оптимальный вариант для большинства сайтов.
  • DENY - Полный запрет открытия страницы во фрейме, независимо от домена.
  • ALLOW-FROM domain - Разрешает открывать страницу во фреймах указанного домена. Это значение поддерживается не всеми браузерами, поэтому его лучше не использовать.
Если в качестве веб-сервера используется Apache, то проще всего прописать этот заголовок в файл .htaccess

#
Header always set X-Frame-Options SAMEORIGIN
#
В этом случае он будет автоматически добавлен ко всем запрашиваемым страницам и документам. Если требуется добавлять заголовок X-Frame-Options не ко всем страницам, или же контролировать открытие на основании домена, или у вас нет возможности отредактировать файл.htaccess, или веб-сервер его не поддерживает, то лучше всего передавать этот заголовок в движке самого сайта. Например, на PHP.Также можно делать проверку на разрешенные домены, которая будет работать независимо от браузера клиента:Использование всех перечисленных методов защиты от просмотра сайта во фрейме позволит вам защититься от

Временами у вас могут возникнуть проблемы с вебвизором в метрике "Яндекс. Вебмастера". Вы хотите посмотреть запись посещения вашего сайта, но по непонятным причинам не можете. Скорее всего, установлен запрет на отображение страницы во фрейме.

Что сделать, если вебвизор не работает через "Яндекс. Метрику"

Для начала нужно проверить, включён ли у вас вообще вебвизор в метрике (в настройках счётчика). Заходим на страницу сайта, где установлен счётчик метрики. Переходим в просмотр кода страницы нажатием на (ctrl+u), комбинацией ctrl+f начинаем поиск нужного фрагмента кода, а именно - webwizor:true. Если в конце фрагмента стоит false, то код будет работать неправильно. Запрет на отображение страницы во фрейме (вебвизор) подтверждён.

Если вебвизор в метрике всё равно не воспроизводит действий пользователя, то есть несколько вариантов проблемы:

  1. Блокировка со стороны браузера клиента.
  2. Блокировка со стороны сервера, на котором «лежит» ваш сайт.

Рассмотрим оба варианта решения проблемы. Первый вариант: вебвизор не работает по причине блокировки браузером клиента, а значит, установлен запрет на отображение страницы во фрейме.

Блокировка со стороны браузера клиента

Необходимо убедиться в том, что у вас есть доступ к любому адресу Если в настройках выбран то включена блокировка. Доступ к ресурсам может блокироваться антивирусом (проверьте его настройки), фаерволом вашей системы или на уровне подсетей. Для устранения проблемы просто добавьте их в список доверенных сайтов, и проблема должна уйти.

Если проблема с установлением запрет на отображение страницы во фрейме всё-таки осталась, то просто зайдите с чистого браузера - это может быть режим "Инкогнито" или скачанный браузер без плагинов и дополнений, расширений (в случае с "Гугл Хром"). Этот подход устраняет проблему в 99 случаях из 100.

Блокировка со стороны сервера

Второй вариант: установлен запрет на отображение страниц во фрейме. Эту проблему решить немного сложнее, чем в первом случае.

  1. Открываем в "Яндекс. Метрике" раздел "Вебвизор", нажимаем f12 (после нажатия открываются инструменты разработчика).
  2. Вкладка "Консоль", перезагружаем страницу (F5).
  3. В списке ошибок будет подчёркнутая красная строка, там будет написано о проблеме.

Если установлена блокировка показа вашего сайта во фрейме, то в "Консоли" вы увидите такую строку: X-Frame-Options: SAMERIORIGN

В последнее время активно ведётся работа по решению этй проблемы, но пока в большинстве браузеров решение не поддерживается. Если вы убираете этот запрет, значит сознательно делаете свой для хакерских атак или просто взлома.

Приведем пример: В компании "1-С-Битрикс" говорят: "Вам важнее безопасность сайта или то, что вы не можете посмотреть действия пользователя на вашем сайте?" Для того чтобы убедиться, что именно по этой причине не работает вебвизор, и вы не можете посмотреть, что делают ваши пользователи на сайте, необходимо осуществить проверку ответа сервера на запрос в любом известном сервисе. Введите адрес страницы с установленным вебвизором и получите результат, как на скрине.

Установлен запрет на отображение страницы во фрейме, скрин свидетельствует об этом.

Вы все-таки решили снять запрет? Если он стоит на уровне конфигурации сервера, и вы поставили сайт на обратитесь в техподдержку.

Если запрет на уровне скрипта, различные cms делают запрос в свои библиотеки безопасности, поэтому проблему решить будет сложнее, чем вы думаете. Открыть страницу во фрейме не удалось? Обратитесь к разработчикам вашей CMS.

Как видите, если установлен запрет на отображение страницы во фрейме, проблему можно решить даже самостоятельно.

Похожие публикации: