Optout Iframe wird nicht angezeigt


#1

Hallo zusammen,

ich suche mir schon seit gestern einen Wolf und finde leider keine Lösung. Ich habe Matomo auf einer Domain installiert unter www.xxx.com/matomo

Die zu trackenden Websites füge ich über die jeweiligen Websites ein und tracke mittels Wordpress Plugin.

Alle Websites haben ein SSL Zertifikat - auch die Matomo Installation.

Leider wird der Optout Iframe nie auf den entsprechenden Websites angezeigt - hat hier jemand eine Idee woran das liegen können?


(Fabian Dellwing) #2

Prüfe bitte mal die Entwicklertools auf Fehlermeldungen.


#3

Wie meinst du das? Wo soll ich das prüfen? Ich vermute es hat was mit https oder dergleichen zu tun - allerdings kann ich es mir nicht erklären.

Beide Seiten sind mit Lets Encrypt versehen


(Lukas Winkler) #4

Hallo,

Öffne einfach deine Seite (wo das iFrame sein sollte) im Browser und öffne dann die Entwicklertools (F12). Du solltest dort einen Fehler sehen, der erklärt, warum es nicht funktioniert.

Ich tippe darauf, dass dein Webserver bei Matomo einen Header, der dem Browser sagt, dass die Seite niemals in einem iFrame vorkommen darf. (X-Frame-Options: sameorigin ).


#5

Vielen Dank. Tatsache der Fehler ist: in a frame because it set ‘X-Frame-Options’ to ‘sameorigin’.

Was ist zu tun? Hosting liegt bei allinkl - oder muss was in die htaccess?


(Lukas Winkler) #6

Hallo,

Vermutlich ist es am einfachsten den Hosting-Support zu kontaktieren, da die wissen, wie es bei ihnen umgestellt wird.


#7

Bei meinem Host besteht das gleich Problem. Ich habe es gelöst, in dem ich die Seite einfach verlinkt haben und sie sich in einem neuen Fenster öffnet. Das ist nicht ganz so bequem wie mit dem iFrame, geht aber.


#8

Ich hab allinkl und hab es nun damit gelöst, dass beide Domains auf PHP 7 CGI nun laufen. Dazu gibts ein Wordpress Plugin welches den Header überschreibt - oder man machts über die htaccess


(Adrian Ministrator) #9

Also bei unseren Apaches haben wir das wie folgt erlaubt (X-Frame Options für das Opt-Out Frame):

# disable x-frame-option SAMEORIGIN for opt-out iframe (e.g. https//domain.dd/piwik/index.php?module=CoreAdminHome&action=optOut&language=dee ...)
# @warning works only with apache >= 2.4
<LocationMatch "^/piwik/index\.php">
   <If "(%{QUERY_STRING} =~ /^module\=CoreAdminHome\&action\=optOut(?!.*module\=)(?!.*action\=)/)">
          <IfModule mod_headers.c>
                  Header unset X-Frame-Options
          </IfModule>
   </If>
</LocationMatch>

(Fabian Dellwing) #10

Weil es hier im Forum gang und gäbe ist, irgendwelche Header einfach zu löschen. Die sind da aus einem Grund! Wenn ihr den X-Frame-Options Header entfernt, solltet ihr ihn an selber Stelle durch einen CSP Header ersetzen!!


(Adrian Ministrator) #11

Und dann für jeden neuen Host der getrackt werden soll den CSP Header von Matomo anpassen?
Nein Danke. Zudem wird der Header einzig für das Opt-Out Frame überschrieben.


(Fabian Dellwing) #12

:man_facepalming:

Ich hoffe echt, Ihr bietet keine sicherheitskritischen Sachen an mit der Einstellung.


(Adrian Ministrator) #13

Was denkst Du wie das innocraft.cloud macht?
Dort wird gar kein Header zu X-Frame-Options gesendet - auch kein CSP Header.
Die Seite soll ja erreichbar sein (bzw. eingebunden werden können).