Заметка Вебвизор Яндекс Метрики и nginx


akhomlyuk

Ищу модераторов
Администратор
Сообщения
748
Симпатии
370
#1
При стандартной и/или правильной настройке веб сервера, вебвизор от Яндекса у вас работать не будет.
В отладке браузера будет данное сообщение Load denied by X-Frame-Options
Load denied by X-Frame-Options.png

За это отвечает директива [MOW=nginx]add_header X-Frame-Options "SAMEORIGIN";
Код:
[ATTACH]336[/ATTACH]
Запрещает отображение страниц вашего сайта, если они открыты во фрейме.
Выглядит это вот так:
[ATTACH=full]335[/ATTACH]
Проверить свой сайт можно тут - [URL]https://tools.geekflare.com/web-tools/x-frame-options-test[/URL]
Можете попробовать добавить мой сайт в iframe
Добавляется в секцию [B]server {}[/B] или в секцию [B]http {}[/B] глобального конфига /etc/nginx/nginx.conf
Противодействует атаке типа «кликджекинг» (англ. Clickjacking). Позволяет злоумышленнику выполнить клик на сайте-жертве [I]от имени посетителя[/I].
[B]Отключать не рекомендую![/B]
По справке Яндекса, чтобы вебвизор заработал надо внести в конфиг:
[MOW=nginx]location / {
       set $frame_options '';
       if ($http_referer !~ '^https?:\/\/([^\/]+\.)?(yourdomain\.com|webvisor\.com)\/'){
           set $frame_options 'SAMEORIGIN';
       }
       add_header X-Frame-Options $frame_options;
       ...
   }
[code]
Вот здесь - [URL]https://learn.javascript.ru/clickjacking[/URL] очень подробно о данной атаке.
До новых встреч!