Jump to content
Melde dich an, um diesem Inhalt zu folgen  

Cross Origin Policy mit IIS umgehen

Empfohlene Beiträge

Hallo, ich habe folgendes Problem.

Ich habe auf einer Seite ein Iframe mit einer digitalen Karte. Der Nutzer kann diese Karte mit der Maus bewegen und mit dem Scrollrad vergrößern bzw. verkleinern. Leider funktionieren die Touch-Gesten nicht. D.h die Touch-Events werden nicht getriggert. Der Host wird das vermutlich in naher Zukunft nichts dagegen unternehmen, deshalb hatte ich die Idee das selber zu tun und seinen Javascript-Code zu erweitern. Leider kommt mir die Cross Origin Policy in die Quere. Dafür muss das Protokoll, die Domain und der Port mit meiner Seite, die das Iframe enthält übereinstimmen.

Kann mir jemand sagen, ob ich das mit Hilfe von IIS umgehen kann? Diesen kann man ja als Reverse Proxy konfigurieren (mit URL-Rewrite und AAR Modul). Hat das schon jemand getan? Evtl. könnte ich in den Response-Header: "Access-Control-Allow-Origin: *" injizieren oder ähnliches?

Die User-Daten will ich nicht haben und die Cookies sind mir auch egal, es wird eh alles über URL-Parameter geregelt.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ja, das funktioniert. Das habe ich in einer ähnlichen Situation auch schon mal so gemacht.

So wie du es vor hast, geht es, es ist aber ziemlich unsicher. Du solltest den Header "Access-Control-Allow-Origin" stattdessen explizit nur für die Domain setzen. Hierfür gibt es einen kleinen Trick. Du liest bei den Request den Origin-Header aus und gleichst ihn mit einer Rewrite-Map ab. Der Client sendet den Origin-Header ja bei deinen  AJAX-Anfragen mit. In der Rewrite-Map hast du dann ein Key-Value-Paar für deine Domain. Der Trick ist, dass Key und Value exakt gleich sind. Wenn der ausgelesene Origin-Header zum Key passt, dann wird der Value in den Access-Control-Allow-Origin-Header der Response geschrieben. Wenn es keinen Eintrag in der Rewrite-Map gibt - die Domain also nicht von die legitimiert ist - dann wird der Access-Control-Allow-Origin-Header nicht gesetzt und der CORS-Schutz greift. So kannst du besser und sicherer Steuern, welche Domains für CORS zulässig sind.

bearbeitet von hendrik232

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nimm an der Diskussion teil

Du kannst jetzt hier posten und Dich später registrieren. Wenn Du bereits über eine Konto verfügst, melde Dich jetzt an, um mit Deinem Konto zu posten.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Melde dich an, um diesem Inhalt zu folgen  

Fachinformatiker.de, 2019 SE Internet Services

fidelogo_small.png

if_icon-6-mail-envelope-closed_314900.pnSchicken Sie uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App


Get it on Google Play

Kontakt

Hier werben?
Oder senden Sie eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...

Wichtige Information

Fachinformatiker.de verwendet Cookies. Mehr dazu in unserer Datenschutzerklärung