Incineration Geschrieben 14. Juli 2019 Teilen Geschrieben 14. Juli 2019 Hallo, ich habe folgendes Problem. Ich habe auf einer Seite ein Iframe mit einer digitalen Karte. Der Nutzer kann diese Karte mit der Maus bewegen und mit dem Scrollrad vergrößern bzw. verkleinern. Leider funktionieren die Touch-Gesten nicht. D.h die Touch-Events werden nicht getriggert. Der Host wird das vermutlich in naher Zukunft nichts dagegen unternehmen, deshalb hatte ich die Idee das selber zu tun und seinen Javascript-Code zu erweitern. Leider kommt mir die Cross Origin Policy in die Quere. Dafür muss das Protokoll, die Domain und der Port mit meiner Seite, die das Iframe enthält übereinstimmen. Kann mir jemand sagen, ob ich das mit Hilfe von IIS umgehen kann? Diesen kann man ja als Reverse Proxy konfigurieren (mit URL-Rewrite und AAR Modul). Hat das schon jemand getan? Evtl. könnte ich in den Response-Header: "Access-Control-Allow-Origin: *" injizieren oder ähnliches? Die User-Daten will ich nicht haben und die Cookies sind mir auch egal, es wird eh alles über URL-Parameter geregelt. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Pixelfuchs Geschrieben 15. Juli 2019 Teilen Geschrieben 15. Juli 2019 (bearbeitet) Ja, das funktioniert. Das habe ich in einer ähnlichen Situation auch schon mal so gemacht. So wie du es vor hast, geht es, es ist aber ziemlich unsicher. Du solltest den Header "Access-Control-Allow-Origin" stattdessen explizit nur für die Domain setzen. Hierfür gibt es einen kleinen Trick. Du liest bei den Request den Origin-Header aus und gleichst ihn mit einer Rewrite-Map ab. Der Client sendet den Origin-Header ja bei deinen AJAX-Anfragen mit. In der Rewrite-Map hast du dann ein Key-Value-Paar für deine Domain. Der Trick ist, dass Key und Value exakt gleich sind. Wenn der ausgelesene Origin-Header zum Key passt, dann wird der Value in den Access-Control-Allow-Origin-Header der Response geschrieben. Wenn es keinen Eintrag in der Rewrite-Map gibt - die Domain also nicht von die legitimiert ist - dann wird der Access-Control-Allow-Origin-Header nicht gesetzt und der CORS-Schutz greift. So kannst du besser und sicherer Steuern, welche Domains für CORS zulässig sind. Bearbeitet 15. Juli 2019 von hendrik232 Incineration reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Incineration Geschrieben 16. Juli 2019 Autor Teilen Geschrieben 16. Juli 2019 Danke für die hilfreiche Antwort. ich probiere das mal aus. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.