"Blocked a frame with origin «https://cdn.site.ru» from accessing a frame with origin «https://site.ru». Protocols, domains, and ports must match"?

Question

[Антон]

Есть основной домен https://site.ru
Есть поддомен - https://cdn.site.ru, где благодаря записи CNAME маскирую оригинальный домен.
Оригинальный домен работает только по протоколу http.

На странице на https://site.ru вставляю несколько iframe с URL https://cdn.site.ru.

Возникает куча ошибок:

Blocked a frame with origin "https://cdn.site.ru" from accessing a frame with origin "https://site.ru". Protocols, domains, and ports must match.

Если вставить оригинальную ссылку в iframe, а не https://cdn.site.ru, то получаю:

[blocked] The page at about:blank was not allowed to display insecure content from https://cdn.site.ru/..........

Как это исправить? Почему YouTube ролики работают нормально, а это нет?

Answer 1

[xmoonlight]

1. Зачем плодить вопрос?
2. mod_proxy() - не помог?
3. Какие заголовки приходят от frame-страницы?

Comments

[Антон]

Да тот вопрос, мне показалось, был менее конкретен.

С mod_proxy() пытаюсь разобраться. Но что-то мне подсказывает все это не то...

[Антон]

Тем более у меня nginx

[xmoonlight]

Антон: nginx.org/ru/docs/http/ngx_http_proxy_module.html

[Антон]

xmoonlight: эх. Это для меня темный лес...
Я должен указать url внешнего сайта там?

[xmoonlight]

Антон: ну да и "пробросить" на свой домен, лучше тестить вначале на http-протоколе.

[Антон]

xmoonlight: ну на http у мен все работает. Не в этом дело.

Да и я не понял что там конкретно прописывать. Я с этим дело очень мало имел.

[xmoonlight]

Антон: ну читайте и разбирайтесь. если на http работает - кидайте https.

[Антон]

xmoonlight: откопал этот пример: ru.stackoverflow.com/a/472404/200470
Но мне выдает: "Ошибка: Настройки Nginx имеет неверное значение".

[xmoonlight]

Антон: значит неверно настроен, нужно искать ошибку

[xmoonlight]

Антон: вот тут еще есть пример: Откуда взялся цикличный редирект?

[Антон]

xmoonlight: меня это только запутало. Тяжело, когда вообще ноль в этом...

[Антон]

xmoonlight: ошибка в том примере была в дублировании FORWARDED-FOR, но это все равно не помогло.

[xmoonlight]

Антон: я апач только знаю хорошо, так что даже не на чем мне попробовать...

[Антон]

xmoonlight: в общем понял. Он переадресует на /foreign-iframe. То есть внешний сайт доступен по адресу https://mysite.ru/foreign-iframe/.

Но проблема в том, что у меня RoR. И тут роут блокирует этот запрос. Типа, нет такого GET параметра в правилах. А правила пишутся эти для контроллеров.

Короче говоря, не знаю как это исправить... Как дать RoR проекту принимать ссылку https://mysite.ru/foreign-iframe/ не ссылаясь на контроллера и экшены.

[xmoonlight]

Антон: добавить в настройку nginx исключение для нужного урл, чтобы не обрабатывалось это правило роутером

[Антон]

xmoonlight: а как это связано с RoR? Я его роут имею ввиду.

[xmoonlight]

Антон: ну чтобы get запрос по адресу /foreign-iframe исключить, из RoR-приложения (обработчика) совсем. Чтобы внешний сайт грузился напрямую.

[xmoonlight]

Антон: есть еще вариант: javascript.info/tutorial/same-origin-security-policy там есть подраздел для работы с document.domain когда нужно коммутировать различные домены. Может это поможет.

[Антон]

xmoonlight: слушай. Я щас убрал https для теста. Чтобы понимать ситуацию.

В общем вообще жопа. Такого не было буквально 2-3 дня назад. Я не знаю в чем дело.

У меня и на http выдает ошибку:

Blocked a frame with origin "https://cdn.site.ru" from accessing a frame with origin "https://site.ru". Protocols, domains, and ports must match.

Я использую CloudFlare. Он виноват?

[Антон]

xmoonlight: притом видео в iframe воспроизводится....

[xmoonlight]

Антон: или он, или кэш там где-то старый (на сервере или в браузере). Ctrl+F5 если нажать - поможет?

[Антон]

xmoonlight: Щас попробую вырубить CloudFlare...

[xmoonlight]

Антон: попробуй в страницу в хеадер вставить JS:
document.domain = document.domain;

[Антон]

xmoonlight: дело не в кэше. Сейчас сменил DNS, жду парковки.

[Антон]

xmoonlight: прописал. Теперь к той ошибке добавляется еще и эта:

The frame being accessed set "document.domain" to "site.ru", but the frame requesting access did not. Both must set "document.domain" to the same value to allow access.

[Антон]

xmoonlight: дело было не в CloudFlare

[Антон]

xmoonlight: добавлю, что у меня RoR проект работает на 5099 порту.

[xmoonlight]

Антон: мда, видимо тогда document.domain - не вариант...
Остались эти варианты:
1. попробовать исключить правилами nginx роутинг урл для iframe, чтобы он не шёл через RoR.
2. проксировать (+добавить динамически заголовки, если нужно)
3. если видео показывало - может этот вариант пойдет?

[Антон]

xmoonlight: показывает видео, но в коде 100 ошибок (красных). Это явно не есть гуд. Ошибка говорит о блокировке CSP. Но как бл*дь добавить этот URL в исключение!? Почему дня 3-4 назад все было хорошо? Почему ютюб работает как надо?

Что мне сделать блин, чтобы все заработало? В гугле по этой ошибке только одна ссылка и не более. И то там нет решения проблемы...

[Антон]

xmoonlight: кстати. Я писал выше, что рельсы у меня строятся на 5099 порту, а ссылки удаленногос айта, скорее всего, на 80 порту. Это играет роль?

[xmoonlight]

Антон: вполне возможно, что да
вот что нашел

before_filter :set_csp

def set_csp
  response.headers['Content-Security-Policy'] = "default-src *; script-src https://assets.example.com; style-src https://assets.example.com"
end

[Антон]

xmoonlight: это я уже давно нашел. Тоже самое, что и напрямую в nginx писать заголовки - нет результата.

Так еще щас прочитал, что frame-src - устаревший формат (значение). Тогда вообще не понимаю, какого хера...

[Антон]

xmoonlight: content-security-policy.com

[Антон]

xmoonlight: сафари шлет одни ошибки, хром другие. Я просто хочу подключить гребанные айфлеймы с одного удаленного домена. Что вообще за цирк.

[xmoonlight]

Антон: может попробовать все на 80-й порт перекинуть?

[Антон]

xmoonlight: как ты это себе представляешь?) Рельсы работают по принципу прослушки порта же. Конфликты будут?

[Антон]

xmoonlight: по умолчанию он запускается на 3000 порту не просто так же.

[xmoonlight]

Антон: в общем, надо смотреть все заголовки и их уже корректировать на своей стороне, если это возможно. Fiddler - лучший веб-отладчик для клиентского трафика.

Answer 2

[d'Ivan]

Настроить Access-Control-Allow-Origin

Comments

[Антон]

Да ни хера это не помогает. Я часа три на эту чушь убил.

[d'Ivan]

Антон: А как делал?

[Антон]

Роман Мирр:

<code lang="ruby">
  before_filter :set_csp

  def set_csp
    csp = "default-src 'self';"
    csp += "script-src 'self' 'unsafe-inline' 'unsafe-eval' https://yandex.st/swfobject;"
    csp += "style-src 'self' 'unsafe-inline';"
    csp += "frame-src 'self' https://www.youtube.com https://cdn.mysite.ru"

    response.headers['Content-Security-Policy'] = csp
  end
</code>

[Антон]

Роман Мирр: в ответ на это пишет:

Blocked a frame with origin "https://cdn.site.ru" from accessing a frame with origin "https://site.ru". Protocols, domains, and ports must match.

[Антон]

Роман Мирр: site, mysite - без разницы. Это опечатка на тостере и не более.

[d'Ivan]

Антон: стоит один раз разобраться с CORS. Посмотри примеры что является одним ресурсом здесь: javascript.info/tutorial/same-origin-security-policy

[Антон]

Роман Мирр: я это видел, да. И честно признаюсь, что ни фига я там не понял. Как это вообще связано с заголовками, https/http и так далее - не понял...

[Антон]

Роман Мирр: ну вот ты мне объясни, что я должен был понять из тех примеров? У меня ни один из них не работает. Все те же ошибки...

[d'Ivan]

Антон: Ну вот на cdn.site.ru какие заголовки CORS?