Content-Security-Policy / X-Frame-Options

  • Moin


    Hardware : TS-219PII 4.3.3.1098


    ich habe eine Webseite bei Jimdo gehostet. Von dort aus habe ich ein iframe link auf mein privates NAS gelegt um Daten abzugreifen.

    Dazu musste ich in der apache.conf (ja beide) die Header Options für die X-Frame-Options rausnehmen.

    Code
    1. Header always set X-Frame-Options "sameorigin"

    Es läuft :), aber die Sicherheit leidet.

    Jetzt habe ich versucht mit den Ausnahmen zu arbeiten.

    Code
    1. Header set X-Frame-Options "allow-from https://example.com/"

    Das mag Mozilla aber nicht Chrome vom IE will ich gar nicht wissen was er macht.

    Danach habe ich mit den CSP Optionen rum experimentiert....


    Leider auch nicht erfolgreich. :rolleyes:


    Hat jemand da Erfahrungen ? Ich würde gerne eigenen Zugriffe erlauben self / sameorigin und eine Url als Ausnahme.

    Alles Https:// und Zugriff über myqnaocloud, wobei ich eine feste IP habe. Wäre ein anderes Thema, wie man da ein sauberes Zertifikat/Hostname bekommt.


    Herzliche Grüße Hajo