Antwort an „Rolf B“ verfassen

problematische Seite

Hallo Linuchs,

nein, lass die Abfrage auf message.origin nicht weg. Wenn man schon Origin-übergreifend kommuniziert, sollten beide Seiten sicherstellen, dass der richtige Kommunikationspartner da ist.

Deshalb solltest Du auch bei beiden Sites eine Content-Security-Policy setzen. Bei shanty-sfd sollte frame-src gesetzt werden, hier müssen alle Origins gelistet werden, aus denen Frames eingebunden werden. Und bei shantyfreun.de sollte frame-ancestors gesetzt werden, womit Du festlegst, welche Origins die Seite per iframe einbinden können.

Ich weiß nicht, wie viele Seiten remso einbinden. Wenn es überschaubar ist, solltest Du auch dafür frame-ancestors setzen.

Rolf

--
sumpsi - posui - obstruxi
freiwillig, öffentlich sichtbar
freiwillig, öffentlich sichtbar
freiwillig, öffentlich sichtbar

Ihre Identität in einem Cookie zu speichern erlaubt es Ihnen, Ihre Beiträge zu editieren. Außerdem müssen Sie dann bei neuen Beiträgen nicht mehr die Felder Name, E-Mail und Homepage ausfüllen.

abbrechen