Comments (3)
Solution:
Set a response header with X-Frame Options
Ci sono 3 opzioni:
- DENY (nessuno può iframare)
- SAMEORIGIN (solo noi da pagine di dequa)
- ALLOW-FROM (lista di chi può iframarci)
Resources:
- how to set response header in flask
- How to set response headers for all sites
- ma cos'è un response header, ci chiediamo
- open source library for doing it
bisogna che capisca un po' meglio dove e come va inserito, sembrerebbe che nel routing una volta che siamo sulla creazione della pagina (calcolo strade ecc) possiamo fareresp = Flask.response()
e là inserirgli resp.headers['Access-Control-Allow-Origin'] = 'ALLOW-FROM tatata'
, però non so se va fatto una volta per tutti, su ogni pagina, e soprattutto cosa fare con l'oggetto resp
una volta settato l'header.
Un giorno con più calma me lo leggo, intanto scrivo qua così non mi dimentico
from v4w_website.
Ricommento quesa vecchia issue.
Qua la documentazione flask per settare x-frame-options: https://flask.palletsprojects.com/en/1.1.x/security/#x-frame-options
La mia proposta è di mettere per www.dequa.it il blocco degli iframe, e poi fare un routing apposito solo per gli iframe (tipo www.dequa.it/embed/etc) in cui fare anche un check di api_key per cui avere il controllo di chi può e chi non può includere la mappa sul sito. Ad esempio google utilizza come src per gli iframe questo formato: https://www.google.com/maps/embed/v1/place?key=API_KEY&q=Space+Needle,Seattle+WA
from v4w_website.
rimuovo, risolta nel nuovo frontend
from v4w_website.
Related Issues (20)
- pwa su iphone - mancano dei tasti HOT 3
- Share e short_url HOT 1
- Variabili global HOT 2
- Passerelle HOT 1
- Routing utilizzando librerie esterne HOT 2
- Civici di tronchetto/ple roma HOT 1
- Civici a cavallo di più sestieri
- Scelta rive di partenza
- una volta modificata l'altezza della marea, l'unico modo per riottenere l'altezza automatica è eliminare la cache! HOT 1
- Mappa girabile HOT 2
- Bottoni HOT 1
- Aggiornamento automatico service worker
- Percorso mancante pescheria
- [WARNING] 'dynamic' loaders cannot be used with many-to-one/one-to-one relationships and/or uselist=False
- nomi non in stampatello database
- L'arsenale non è (purtroppo) attraversabile
- Cambio che non esiste HOT 1
- Percorso con spunta handicappati funziona, solo battello fa robe strane
- Poveglia sembra raggiungibile a piedi / threshold per punto di partenza grafo terreno?
- Confusione partenze/arrivi nei battelli
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from v4w_website.