Optout Iframe wird nicht angezeigt

N1tro · August 18, 2018, 8:50pm

Hallo zusammen,

ich suche mir schon seit gestern einen Wolf und finde leider keine Lösung. Ich habe Matomo auf einer Domain installiert unter www.xxx.com/matomo

Die zu trackenden Websites füge ich über die jeweiligen Websites ein und tracke mittels Wordpress Plugin.

Alle Websites haben ein SSL Zertifikat - auch die Matomo Installation.

Leider wird der Optout Iframe nie auf den entsprechenden Websites angezeigt - hat hier jemand eine Idee woran das liegen können?

fdellwing · August 19, 2018, 8:42am

Prüfe bitte mal die Entwicklertools auf Fehlermeldungen.

N1tro · August 19, 2018, 9:06am

Wie meinst du das? Wo soll ich das prüfen? Ich vermute es hat was mit https oder dergleichen zu tun - allerdings kann ich es mir nicht erklären.

Beide Seiten sind mit Lets Encrypt versehen

Lukas · August 19, 2018, 11:30am

Hallo,

Öffne einfach deine Seite (wo das iFrame sein sollte) im Browser und öffne dann die Entwicklertools (F12). Du solltest dort einen Fehler sehen, der erklärt, warum es nicht funktioniert.

Ich tippe darauf, dass dein Webserver bei Matomo einen Header, der dem Browser sagt, dass die Seite niemals in einem iFrame vorkommen darf. (X-Frame-Options: sameorigin ).

N1tro · August 19, 2018, 1:38pm

Vielen Dank. Tatsache der Fehler ist: in a frame because it set ‘X-Frame-Options’ to ‘sameorigin’.

Was ist zu tun? Hosting liegt bei allinkl - oder muss was in die htaccess?

Lukas · August 19, 2018, 4:25pm

Hallo,

Vermutlich ist es am einfachsten den Hosting-Support zu kontaktieren, da die wissen, wie es bei ihnen umgestellt wird.

anon90402890 · August 19, 2018, 6:25pm

Bei meinem Host besteht das gleich Problem. Ich habe es gelöst, in dem ich die Seite einfach verlinkt haben und sie sich in einem neuen Fenster öffnet. Das ist nicht ganz so bequem wie mit dem iFrame, geht aber.

N1tro · August 19, 2018, 6:36pm

Ich hab allinkl und hab es nun damit gelöst, dass beide Domains auf PHP 7 CGI nun laufen. Dazu gibts ein Wordpress Plugin welches den Header überschreibt - oder man machts über die htaccess

gax · September 17, 2018, 12:52pm

Also bei unseren Apaches haben wir das wie folgt erlaubt (X-Frame Options für das Opt-Out Frame):

# disable x-frame-option SAMEORIGIN for opt-out iframe (e.g. https//domain.dd/piwik/index.php?module=CoreAdminHome&action=optOut&language=dee ...)
# @warning works only with apache >= 2.4
<LocationMatch "^/piwik/index\.php">
   <If "(%{QUERY_STRING} =~ /^module\=CoreAdminHome\&action\=optOut(?!.*module\=)(?!.*action\=)/)">
          <IfModule mod_headers.c>
                  Header unset X-Frame-Options
          </IfModule>
   </If>
</LocationMatch>

fdellwing · September 17, 2018, 2:54pm

Weil es hier im Forum gang und gäbe ist, irgendwelche Header einfach zu löschen. Die sind da aus einem Grund! Wenn ihr den X-Frame-Options Header entfernt, solltet ihr ihn an selber Stelle durch einen CSP Header ersetzen!!

gax · September 18, 2018, 5:51am

Und dann für jeden neuen Host der getrackt werden soll den CSP Header von Matomo anpassen?
Nein Danke. Zudem wird der Header einzig für das Opt-Out Frame überschrieben.

fdellwing · September 18, 2018, 8:22am

Ich hoffe echt, Ihr bietet keine sicherheitskritischen Sachen an mit der Einstellung.

gax · September 21, 2018, 12:51pm

Was denkst Du wie das innocraft.cloud macht?
Dort wird gar kein Header zu X-Frame-Options gesendet - auch kein CSP Header.
Die Seite soll ja erreichbar sein (bzw. eingebunden werden können).