Linuchs: Ein iframe wird mehrmals geladen und scheitert

problematische Seite

Moin,

auf einer Webseite möchte ich den nächsten Termin als iframe einblenden und hole ihn von einer anderen Domain:

<iframe src="http://remso.eu/?VIP=75&posi=1&LO=postit" frameborder=0 Style="width:200px;height:200px;border:.1pt dashed #ccf;"></iframe>

Im iframe-Rahmen erscheint die Fehlermeldung „zu viele Zugriffe“, ein Hinweis, dass diese ip innerhalb 3 sec mehrmals auf remso zugreift.

Und tatsächlich in der Konsole:

remso

Ich habe aber im Code nur einen Zugriff auf remso. Was ist das für ein Effekt und wie vermeide ich ihn?

Gruß, Linuchs

  1. problematische Seite

    Hello,

    Moin,

    auf einer Webseite möchte ich den nächsten Termin als iframe einblenden und hole ihn von einer anderen Webseite:

    <iframe src="http://remso.eu/?VIP=75&posi=1&LO=postit" frameborder=0 Style="width:200px;height:200px;border:.1pt dashed #ccf;"></iframe>
    

    Im iframe-Rahmen erscheint die Fehlermeldung „zu viele Zugriffe“, ein Hinweis, dass diese ip innerhalb 3 sec mehrmals auf remso zugreift.

    Und tatsächlich in der Konsole:

    remso

    Ich habe aber im Code nur einen Zugriff auf remso. Was ist das für ein Effekt und wie vermeide ich ihn?

    Spannemde Frage @All: Wie ist das bei iFrames mit den Bezügen von Pfaden

    <img src="img/notizzettel_gelb.png" alt="zettel" />
    

    und mit den Schemes?

    Wenn die Hauptseite HTTPs benutzt, darf das iFrame dann nur HTTP benutzen?

    Und auf welche Wurzel beziehen sich relative Pfade des iFrames?

    "Lose" kann man das iFrame jedenfalls problemlos aufrufen.

    Glück Auf
    Tom vom Berg

    --
    Es gibt nichts Gutes, außer man tut es!
    Das Leben selbst ist der Sinn.
    1. problematische Seite

      Lieber TS,

      Spannemde Frage @All:

      finde das ganz und gar nicht mehr spannend, weil -zig Mal schon geklärt.

      Wenn die Hauptseite HTTPs benutzt, darf das iFrame dann nur HTTP benutzen?

      Ja, darf es.

      Und auf welche Wurzel beziehen sich relative Pfade des iFrames?

      Auf die URL in seinem src-Attribut.

      Liebe Grüße

      Felix Riesterer

      1. problematische Seite

        Hello,

        Spannemde Frage @All:

        finde das ganz und gar nicht mehr spannend, weil -zig Mal schon geklärt.

        Da habe ich wohl gefehlt, Herr Lehrer ;-p

        Danke für die Aufklärung.

        Glück Auf
        Tom vom Berg

        --
        Es gibt nichts Gutes, außer man tut es!
        Das Leben selbst ist der Sinn.
      2. problematische Seite

        Wenn die Hauptseite HTTPs benutzt, darf das iFrame dann nur HTTP benutzen?

        Ja, darf es.

        Aber aus gutem Grund längst nicht immer.

        1. problematische Seite

          Hello,

          Wenn die Hauptseite HTTPs benutzt, darf das iFrame dann nur HTTP benutzen?

          Ja, darf es.

          Aber aus gutem Grund längst nicht immer.

          Danke für den Tipp.

          Da kam mir glatt die Frage an Günter Schabowski in den Sinn: "Ab wann gilg das?"

          Aber unten auf dem MDM-Dokument steht etwas von letzte Änderung 09. Juli 2019. Also auf jedenfalls davor... Und die meisten Browser scheinen das ja auch schon zu unterstützen.

          Glück Auf
          Tom vom Berg

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
        2. problematische Seite

          Lieber Raketenwissenschaftler,

          Aber aus gutem Grund längst nicht immer.

          ein iFrame ist ein eigenes Tab/Fenster, auch wenn es in einer Seite angezeigt wird. Daher frage ich mich, inwiefern die CSP hier überhaupt Anwendung finden sollte. Was die Übertragung des Referers angeht, steht das für mich auf einem anderen Blatt.

          Liebe Grüße

          Felix Riesterer

          1. problematische Seite

            Hello,

            Lieber Raketenwissenschaftler,

            Aber aus gutem Grund längst nicht immer.

            ein iFrame ist ein eigenes Tab/Fenster, auch wenn es in einer Seite angezeigt wird. Daher frage ich mich, inwiefern die CSP hier überhaupt Anwendung finden sollte. Was die Übertragung des Referers angeht, steht das für mich auf einem anderen Blatt.

            Das ist ganz logisch:
            Mittels iFrame und/oder JavaScript können fremde Inhalte referenziert werden. IDer Inhalt des iFrames wird also auf dem fremden Server bestimmt. Der kann daher auch bestimmen, ob die Sekundärrequests im iFrame mit oder ohne TLS arbeiten.

            Wenn der Hauptseitenbetreiber dies aber nicht wünscht, kann er hier den Browser um Unterstützung bitten.

            Das wird aber so langsam unübersichtlich mif CSP und SOP und HSTS und Webfonts mit und ohne Einschränkungen, usw., usw..

            Glück Auf
            Tom vom Berg

            --
            Es gibt nichts Gutes, außer man tut es!
            Das Leben selbst ist der Sinn.
            1. problematische Seite

              Lieber TS,

              Das ist ganz logisch:

              ja.

              Wenn der Hauptseitenbetreiber dies aber nicht wünscht, kann er hier den Browser um Unterstützung bitten.

              Er kann es unterlassen, fremde Inhalte einzubinden. Eine Verlinkung ist ja auch schon etwas wert.

              Das wird aber so langsam unübersichtlich mif CSP und SOP und HSTS und Webfonts mit und ohne Einschränkungen, usw., usw..

              Ja.

              Liebe Grüße

              Felix Riesterer

        3. problematische Seite

          Aloha ;)

          Wenn die Hauptseite HTTPs benutzt, darf das iFrame dann nur HTTP benutzen?

          Ja, darf es.

          Aber aus gutem Grund längst nicht immer.

          Ja, und nicht nur das. Ich meine mich erinnern zu können, dass das Standardverhalten von Chrome unabhängig vom Header keinen mixed-content zulässt, wenn man das nicht explizit freigibt. Und das bedeutet: etliche Nutzer werden trotz "korrektem" Header nichts sehen.

          Was ich unter Sicherheitsaspekten auch verstehen kann.

          So wie ich das verstehe, geht es dabei darum, dass der Browser den User davor schützt, sich in falscher Sicherheit zu wiegen, wenn er / sie Daten auf einer "gesicherten" Seite eingibt - das Eingabeformular der https-Seite könnte sich ja auch im http-iframe befinden. Oder so.

          Grüße,

          RIDER

          --
          Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller
          # Twitter # Steam # YouTube # Self-Wiki # Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
  2. problematische Seite

    Suchmaschinen haben meine Seite mit Anfragen zugeballert, so dass ich in remso.eu/index.php die ip mit Uhrzeit speichere und mit dem letzten Zugriff vergleiche. Innerhalb 3 sec wird die Fehlermeldung 429 gesendet und das Programm abgebrochen.

    Weitere Ressourcen wie etwa css- Dateien oder Bilder von remso werden direkt angefordert und laufen nicht über die index.php.

    1. problematische Seite

      Hello,

      Suchmaschinen haben meine Seite mit Anfragen zugeballert, so dass ich in remso.eu/index.php die ip mit Uhrzeit speichere und mit dem letzten Zugriff vergleiche. Innerhalb 3 sec wird die Fehlermeldung 429 gesendet und das Programm abgebrochen.

      Weitere Ressourcen wie etwa css- Dateien oder Bilder von remso werden direkt angefordert und laufen nicht über die index.php.

      Also suchst Du jetzt die Ursache, wieso der Browser das iFrame mehrmals aufruft und nicht nur einmal? Was ist denn mit den Sekundärressourcen im iFrame? Die werden deiner Aussage nach nicht gezählt?

      Was sagen denn die Serverlogs für access und error?

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
      1. problematische Seite

        Hallo Tom,

        Also suchst Du jetzt die Ursache, wieso der Browser das iFrame mehrmals aufruft und nicht nur einmal?

        Genau.

        Was ist denn mit den Sekundärressourcen im iFrame? Die werden deiner Aussage nach nicht gezählt?

        Wenn ich das im iframe befindliche HTML-Dokument ohne iframe direkt aufrufe, meldet die Konsole diese Zugriffe. Der erste Zugriff aktiviert die ip-Kontrolle, ist gleichbedeutend mit

        http://remso.eu/index.php?VIP=75&posi=1&LO=postit

        Konsole

        Soeben habe ich die Hauptseite mit [F5] neu geladen, da wird sogar viermal versucht, auf remso zuzugreifen:

        Konsole

        Das viermalige Laden kann ich aber nicht zuverlässig wiederholen.

        Was sagen denn die Serverlogs für access und error?

        Die habe ich noch nie eingesehen. Wo liegen die?

        Linuchs

        1. problematische Seite

          Hello,

          Die Konsole im Browser ist hier nicht unbedingt hilfreich.

          Was sagen denn die Serverlogs für access und error?

          Die habe ich noch nie eingesehen.

          Die würden Dir aber vermutlich oft viel Suchzeit ersparen.

          Wo liegen die?

          Radio Eriwan antwortet: Das kommt darauf an... ;-O

          Das wird in der Serverkonfiguration und/oder der VirtHost-Konfiguration festgelegt.

          Und wenn Du z. B. Plesk oder eine ähnliche Administrationssoftware benutzt, überschreibt die das mWn auch nochmal.

          Üblich wäre erst einmal das Verzeichnis /var/log/apache2/

          Error Log
          Apache Log Files

          Wenn Du sie verschiebst (bei mir liegen sie immer im Verzeichnis der jeweiligen Domain unter /var/www/<domain>/logs/), dann denke auch daran, das logrotate mitzuteilen. Sonst läuft irgendwann die Platte über.

          Welche Umleitungen (Mod Rewrite) hast Du denn eingerichtet?

          Glück Auf
          Tom vom Berg

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
          1. problematische Seite

            dann denke auch daran, das logrotate mitzuteilen.

            Hehe! Diejenigen, die das vergessen, werden nach einer Weile meine Lieblingskunden!

          2. problematische Seite

            Lieber Tom,

            Wenn Du sie verschiebst (bei mir liegen sie immer im Verzeichnis der jeweiligen Domain unter /var/www/<domain>/logs/), dann denke auch daran, das logrotate mitzuteilen. Sonst läuft irgendwann die Platte über.

            Hat das einen bestimmten Hintergrund, oder warum verschiebst Du die Logdateien?

            Spirituelle Grüße
            Dein Robert

            --
            Möge der Forumsgeist ewig leben!
            1. problematische Seite

              Hallo Robert,

              Wenn Du sie verschiebst (bei mir liegen sie immer im Verzeichnis der jeweiligen Domain unter /var/www/<domain>/logs/), dann denke auch daran, das logrotate mitzuteilen. Sonst läuft irgendwann die Platte über.

              Hat das einen bestimmten Hintergrund, oder warum verschiebst Du die Logdateien?

              ich weiß nicht, was Toms Motiv ist - aber ich würde die Logdateien auch in ein Verzeichnis legen, das der jeweiligen Domain untergeordnet ist, anstatt sie zentral abzulegen. Ich finde das irgendwie übersichtlicher.

              Abgesehen davon: Bei vielen Hostern hat man nicht einmal die Wahl. Die stellen einem die Log-Dateien in einem Verzeichnis zur Verfügung, das sie selbst vorgeben. Take it or leave it.

              Ciao,
               Martin

              --
              Kunst beginnt da, wo bei den meisten das Können aufhört.
            2. problematische Seite

              Hello,

              Wenn Du sie verschiebst (bei mir liegen sie immer im Verzeichnis der jeweiligen Domain unter /var/www/<domain>/logs/), dann denke auch daran, das logrotate mitzuteilen. Sonst läuft irgendwann die Platte über.

              Hat das einen bestimmten Hintergrund, oder warum verschiebst Du die Logdateien?

              Das ist ganz einfach.

              Auf meinem Host ist eine Shared Hosting Umgebung eingerichtet. Das bedeutet also, dass unterschiedliche Nutzer mit ihren PHP-Prozessen auch ihre Logdaten erreichen können sollen, nicht aber die der anderen Teilnehmer.

              Jede Domain hat daher eigene Verzeichnisse

              /var/www/<domain>/

              • tmp
              • sessions
              • data
              • htdocs --> DocumentRoot der Domain
              • logs
              • includes

              die per Skeleton-Script automatisch eingerichtet werden können.

              Die generellen Verzeichnisse für log, tmp, usw. gehören dem Haupthost. Darin haben die Teilnehmer nichts zu suchen. Diese Trennung für jeden Teilnehmer über verstreute Dateirechte einzurichten, wäre zu umständlich.

              Glück Auf
              Tom vom Berg

              --
              Es gibt nichts Gutes, außer man tut es!
              Das Leben selbst ist der Sinn.
  3. problematische Seite

    Ich habe aber im Code nur einen Zugriff auf remso.

    Und? Schauen wir mal in den Quältext:

    <img src="img/notizzettel_gelb.png" alt="zettel" />
    

    Macht dann 2 Zugriffe. Vielleicht will der Browser noch ein Favicon…

    ein Hinweis, dass diese ip innerhalb 3 sec mehrmals auf remso zugreift.

    Wie und wo ist das eingerichtet? mod_evasive?

    1. problematische Seite

      Wie und wo ist das eingerichtet? mod_evasive?

      Die Frage steht, auch wenn irgendjemand diese nicht gut findet. Ich habe nämlich http://remso.eu/?VIP=75&posi=1&LO=postit ziemlich "hardcore" mit F5 bequält und keine Fehlermeldung erhalten.

      Da sollte also eruiert werden, warum der 429er beim Zugriff durch Linuchs geschmissen wird.

      1. problematische Seite

        Hallo Raketenwissenschaftler,

        Die Frage steht, auch wenn irgendjemand diese nicht gut findet. Ich habe nämlich http://remso.eu/?VIP=75&posi=1&LO=postit ziemlich "hardcore" mit F5 bequält und keine Fehlermeldung erhalten.

        Vielleicht weil du direkt den IFrame aufrufst ohne die einbettende Seite?

        Bis demnächst
        Matthias

        --
        Pantoffeltierchen haben keine Hobbys.
        ¯\_(ツ)_/¯
        1. problematische Seite

          Hallo Raketenwissenschaftler,

          Die Frage steht, auch wenn irgendjemand diese nicht gut findet. Ich habe nämlich http://remso.eu/?VIP=75&posi=1&LO=postit ziemlich "hardcore" mit F5 bequält und keine Fehlermeldung erhalten.

          Vielleicht weil du direkt den IFrame aufrufst ohne die einbettende Seite?

          Nach seiner Beschreibung eher nicht

          Da müsste sein Zähler schon sehr krude funktionieren wenn der 429er nur dann geworfen wird, wenn http://remso.eu/?VIP=75&posi=1&LO=postit im Iframe geöffnet wird…

          1. problematische Seite

            Hallo Raketenwissenschaftler,

            Da müsste sein Zähler schon sehr krude funktionieren wenn der 429er nur dann geworfen wird, wenn http://remso.eu/?VIP=75&posi=1&LO=postit im Iframe geöffnet wird…

            Ich konnte allerdings auch mit http://osmer.de/musik/ (problematische Seite) keinen Fehler provozieren.

            Bis demnächst
            Matthias

            --
            Pantoffeltierchen haben keine Hobbys.
            ¯\_(ツ)_/¯
            1. problematische Seite

              Hello,

              Hallo Raketenwissenschaftler,

              Da müsste sein Zähler schon sehr krude funktionieren wenn der 429er nur dann geworfen wird, wenn http://remso.eu/?VIP=75&posi=1&LO=postit im Iframe geöffnet wird…

              Ich konnte allerdings auch mit http://osmer.de/musik/ (problematische Seite) keinen Fehler provozieren.

              Ich hatte ihn allerdings vorhin. Jetzt nicht mehr. Allerdings hatte ich das krude JavaScript in Verdacht und keinen serverseitigen Zähler. Dagegen spricht aber der HTTP-Statuscode.

              Glück Auf
              Tom vom Berg

              --
              Es gibt nichts Gutes, außer man tut es!
              Das Leben selbst ist der Sinn.