X-Frame-Options :SAMEORIGIN мешает вебвизору яндекс метрики?

Question

[ShamblerR]

nginx+apache
сейчас

<IfModule headers_module>
       Header set X-Content-Type-Options nosniff
       Header set X-Frame-Options SAMEORIGIN
</IfModule>

1с-битрикс требует установки X-Frame-Options :SAMEORIGIN ну и в принципе он прав.
Однако при этом вырубается вебвизор в яндекс метрике.

Вопрос:
Как разрешить входитьисключитеьно боту яндекс, скорее всего через allow ?
Или как отклчить директиву ( поскольку требуется именно отключить а не удалить с конфига поскольку дополнительные директивы в каждом сайте дописываются в файл а не заменяют текущие, тобиш что -то вроде X-Frame-Options : allow-all но директивы такой нет ;( или я ее не нашел, может кто знает?

Answer 1

[ShamblerR]

вопрос закрыт ,решения нет поскольку любой из вариантов будет следствием исключение самой задачи.
Подробней написал тут
klondike-studio.ru/blog/vse_pro_hosting/nerabotaet...

Comments

[TriAn]

То, что написано на этом сайте не соответствует действительности. Точнее ответ от специалистов 1С.
Подделать заголовок не представляется возможным в тех сценариях где используется защита от эмуляции кликов. Единственный путь - перехват трафика пользователя, но это решается при помощи https. Если он у вас не внедрен, то говорить о защите от ClickJacking вообще преждевременно.

Answer 2

[che7ovek]

https://yandex.ru/blog/metrika/415 - здесь ответ на ваш вопрос.
Для битрикса в BitrixVM это делается в файле nginx/bx/conf/bitrix.conf

Answer 3

[Макс]

dev.1c-bitrix.ru/learning/course/?COURSE_ID=43&LES...

Comments

[ShamblerR]

спс, как вариант но этоделается уже на сайте ;(

[Макс]

ShamblerR: https://developer.mozilla.org/en-US/docs/Web/HTTP/...

ALLOW-FROM uri

[ShamblerR]

Максим Попов: тоже спорно решение Вопервых нет поддержки старых браузеров, только самые новые, да ине поддерживается вообещ ни одним мобильным. Следователньно в среднем 53% посетителей ( средний показатель по сайтам) такое решение изящьным не назовеш.

[ShamblerR]

Максим Попов: что касается битрикса dev.1c-bitrix.ru/learning/course/?COURSE_ID=43&LES... то там немного не то, там только урл по маске можно исключить но не юзер агента и не внешний источник. Фактически от такой плюхи толку ноль, да и данный костыьл реально можно использовать банально в админке, собственно для нее он и сделан.