Picture of FelixH
Registered 6 years 267 days
FelixH Tuesday, 7 February 2023, 10:14 AM
iFrame Source URL
Guten Tag zusammen,

wir testen im Moment viel mit der iFrame Funktion (onBoard und MediaRunway).
Dabei hat sich ergeben das sich die iFrame Funktion im Browser und in der myApps unterschiedlich verhalten im Bezug auf die Source URL.
Ziel wäre es mittels Content Security Policy nur der myApps Cloud (oder einer onPremise Anlage) zu erlauben eine Webseite als iFrame einzubetten.

Schränke ich die URLs auf <myAppsNummer>-pbx.innovaphone.com und <myAppsNummer>-apps.innovaphone.com kann ich die Webseiten in der myApps Browser Variante (z.B. OpenProject) Problemlos öffnen, jedoch nicht in der myApps Desktop Anwendung. Grund ist hier die Source URL:

myApps Browser:
192.168.121.11 - - [07/Feb/2023:09:59:45 +0100] "GET /login?back_url=https%3A%2F%2Fproject.domain.de%2F HTTP/1.1" 200 6668 "https://100xx-pbx.innovaphone.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36"

myApps Desktop App:
192.168.121.11 - - [07/Feb/2023:10:01:20 +0100] "GET /login?back_url=https%3A%2F%2Fproject.domain.de%2F HTTP/1.1" 200 6669 "http://localhost:10008/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.5304.110 Safari/537.36 myApps/13.0.7766.0 (Windows)"

Dies führt dazu das die CSP Regel nicht greift.
Das verhalten ist in der iFrame App von MediaRunway und in der PBX App gleich.
Der Aufruf ist prinzipiell möglich wenn ich in die Regel den Wildcard Identifier "*" einfüge.
Jedoch kommt dann das zweite Problem zu tragen, Cookies.

Nicht nur Open Projekt, auch andere Tools verweigern einen Login weil keine Cookies gesetzt werden können, die zum Betrieb notwendig sind. Hier als Beispiel, Netbox:

CSRF verification failed. Request aborted.

You are seeing this message because this site requires a CSRF cookie when submitting forms. This cookie is required for security reasons, to ensure that your browser is not being hijacked by third parties.

If you have configured your browser to disable cookies, please re-enable them, at least for this site, or for “same-origin” requests.


Wäre es möglich Cookies für iFrame zu erlauben und die Source URL so anzupassen das sie der PBX Url entspricht die ich im myApps Client als Server hinterlegt habe ?

Dies würde die myApps Plattform um ein starkes Feature erweitern um beliebige Unternehmensanwendungen in die myApps zu integrieren ohne den erhöhten Programmieraufwand ein eigene App für jeden Anwendung zu erstellen.

Für Tests und weitere Informationen stehe ich gerne zur Verfügung.


Gruß


Felix

← You can define your color theme preference here