iFrame handling about v4w_website HOT 3 CLOSED

Solution:
Set a response header with X-Frame Options

Ci sono 3 opzioni:

• DENY (nessuno può iframare)
• SAMEORIGIN (solo noi da pagine di dequa)
• ALLOW-FROM (lista di chi può iframarci)

Resources:

• how to set response header in flask
• How to set response headers for all sites
• ma cos'è un response header, ci chiediamo
• open source library for doing it

bisogna che capisca un po' meglio dove e come va inserito, sembrerebbe che nel routing una volta che siamo sulla creazione della pagina (calcolo strade ecc) possiamo fareresp = Flask.response() e là inserirgli resp.headers['Access-Control-Allow-Origin'] = 'ALLOW-FROM tatata', però non so se va fatto una volta per tutti, su ogni pagina, e soprattutto cosa fare con l'oggetto resp una volta settato l'header.
Un giorno con più calma me lo leggo, intanto scrivo qua così non mi dimentico

from v4w_website.

Ricommento quesa vecchia issue.
Qua la documentazione flask per settare x-frame-options: https://flask.palletsprojects.com/en/1.1.x/security/#x-frame-options
La mia proposta è di mettere per www.dequa.it il blocco degli iframe, e poi fare un routing apposito solo per gli iframe (tipo www.dequa.it/embed/etc) in cui fare anche un check di api_key per cui avere il controllo di chi può e chi non può includere la mappa sul sito. Ad esempio google utilizza come src per gli iframe questo formato: https://www.google.com/maps/embed/v1/place?key=API_KEY&q=Space+Needle,Seattle+WA

from v4w_website.

rimuovo, risolta nel nuovo frontend

from v4w_website.