Не работает iframe ... От слова совсем! Что за магия?

Question

[Сергей Еремин]

Какая-то магия... Клиенты попросили виджет моего сервиса oknardia.ru ... Чтобы сделать все быстро и не городить огород, решил все сделать с помощью <iframe>, а с асинхронными JS заморочиться позже. Веб-разработкой давно не занимался, забросил лет 15 назад и вернулся к сайтостроению год назад. Но помнил, что никаких проблем с iframe не было, и потому не предвидел проблем и сейчас. Создал себе сайтик для отладки виджета: widget.oknardia.ru. В нем прописано:

<iframe seamless src="http://oknardia.ru/widget/id_2" name="oknardia" width="100%">
    Если бы ваш браузер не поддерживал iframe, тут был бы виджет!
</iframe>

И, бац! А оказалось, такая простая штука, не работает. Причем, вижу в логах, что обращения к /widget/id_2 проходят, и сервер отдает все чин по чину с кодом 200.

Возможно, все дело в настройках безопасности браузера, но все браузеры отрабатывают одинаково.

Для примера вставил еще один <iframe> с внешних сайтов. Некоторые сайты показывает, некоторые нет. Например, iframe, подгружающий что-то с toster, отрабатывается. Такое впечатление, что что-то в самом HTML-контенте для фрейма не то. Что изменилось в концепции iframe за последние 15 лет? Что надо "сказать" в HTML для фейма чтобы он заработал?

Кстати, и почему атрибут seamless не работает как положено? Он же должен, кроме прочего, обеспечивать, что "высота формируется автоматически на основе содержимого". Для фрейма с подгрузкой с toster.ru это не обеспечивается. Это вообще работает?

Answer 1

[Алексей]

Сервер отдает заголовок, запрещающий показ во фреймах на чужом домене.
X-Frame-Options: SAMEORIGIN

Comments

[Сергей Еремин]

А есть ли простой способ установить X-Frame-Options через meta?

[Алексей]

Это нужно делать не через meta, а через http заголовки.
Сделайте сначала поиск по файлам движка на предмет "X-Frame-Options", если не найдете - посмотрите в настройках веб-сервера.

[Сергей Еремин]

Алексей: У меня Django и как я понял доки как "готовить" X-Frame-Options тут: https://docs.djangoproject.com/en/1.7/ref/clickjacking/ ... Осталось разобраться и понять какотдавать определенные странички отдавались с определенными X-Frame-Options: ALLOW-FROM www.домен_партнера.ru

Кстати, в интернетах пишут что есть еще возможность использовать в заголовке Content-Security-Policy с директивой frame-ancestors. Только как его "готовить" в django вообще неясно.

[Алексей]

По Django ничего подсказать не могу, сорри.

Answer 2

[Alexander Litvinenko]

Не отображается думаю из-за заголовка

X-Frame-Options:SAMEORIGIN

Это значит что отображать фреймы можно только на этом же сайте. Вообще концепция "грубого" фрейма слегка устарела, обычно подключают JS который грузит другой JS, а тот в свою очередь виджет. Это сделано для того чтобы обновлять виджет без просьбы всех пользователей переустановить его.

а seamless не кросбраузерный пока, да и высота фрейма в нутри которого скрипты, понятие весьма растяжимое в буквальном смысле.

Comments

[Сергей Еремин]

Мне бы по быстрому с iframe сделать. А после и на JS можно переделать... Там у меня и так очень с JS много накручено. С ходу уже сам в своем коде не очень понимаю.

На сколько я понял, настроить X-Frame-Options через meta в HTML нельзя. Нужно изучать тут: https://docs.djangoproject.com/en/1.7/ref/clickjacking/ и как-то придумать чтобы определенные странички отдавались с определенными X-Frame-Options: ALLOW-FROM www.домен_партнера.ru

[Alexander Litvinenko]

Сергей Еремин: по хорошему его надо просто убрать. Поменять это в настройках веб сервера быстрее всего.

[Сергей Еремин]

Alexander Litvinenko: Согласен, .httpacces поправить проще... Но раз есть возможность разрешить отображение избирательно, то почему бы не использовать. Осталось понять как. :(

Кстати? пишут что есть еще возможность использовать в заголовке Content-Security-Policy с директивой frame-ancestors. но вот как его "готовить" в django вообще неясно.