Allow from...

[magic77]

Hallo liebe Foren Gemeinde,
ich möchte phpBB an eine Domain "binden". Das heisst das Forum ist unter "forum.domain.com" gehostet
und soll nur unter "sub.domain.de" aufrufbar sein. Rufe ich die URL direkt auf, soll das Forum gesperrt sein.
Das Forum wird per iframe reingeladen. Als iframe src ist "forum.domain.com" angegeben.

Das folgende .htaccess Konstrukt geht schon mal soweit, bis auf eine kleine Tatsache das nach dem Login in phpBB
ein Page Reload stattfindet und dieser mit einem "forbidden" vom Server quittiert wird. Das selbe gilt auch für´s Logout.

SetEnvIf Referer sub\.domain\.de internal
SetEnvIf Referer forum\.domain\.com internal
<Files *>
order Deny,allow
Deny from all
Allow from env=internal
</Files>

Kann mir jemand vielleicht weiterhelfen.
Vielen Dank schon mal im voraus
Gruß
Marek

[Joe User]

Das liegt daran, dass phpBB3 bei diesen Redirects den IFrame verlässt und somit Deine Deny-Anweisung wie gewünscht zuschlägt.
Du kannst entweder phpBB3 patchen, oder Du überdenkst den IFrame-Mist und machst es richtig[tm].

Was genau soll der IFrame-Mist und die unzugängliche Subdomain bewirken? Vielleicht gibt es ja brauchbarere Lösungen.

[magic77]

Hi,
der iFrame ist notwendig, da das Backend in der Cloud liegt und das Forum von einem anderen Server nur "dazu" geladen wird.
Eine phpBB Installation innerhalb der Cloud war nicht drin.
Von daher soll phpBB geschütz von außen unzugänglich sein, und nur wenn Sich ein Benutzer im Backend (Cloud) einloggt, geladen werden.

Was meinst du denn mit richtig machen?


Gruß
Marek

[magic77]

Ok - findet leider keine .htaccess Lösung :-(
Habe dafür an die entsprechende Stelle im Template ein "window.location.href" eingebaut, und das funktioniert ganz gut.

Gruß
Marek

[Joe User]

OK, ich verstehe das Problem. Eine Lösung hast Du ja selbst gefunden, ich überlege die nächsten Tage mal, ob es nicht eine bessere Lösung gibt. IFrames werden nämlich gerne von Ad-Blockern oder Privacy-Extensions für diverse Browser blockiert und das ist für den User unschön.

[magic77]

Hi,
danke für deine Antwort - guter Einwand mit den Blockern, habe ich so noch nicht bedacht :-)


Gruß
Marek

[magic77]

eine Frage dazu: Wäre das senden eines Headers von forum.domain.com ausreichend, um sich bei solchen Blockern zu legitimieren?

Code: Select all

header("X-Content-Security-Policy: default-src 'self' sub.domain.de; options inline-script eval-script; script-src 'self' sub.domain.de; style-src 'self' sub.domain.de");

[Joe User]

Auf jedenfall helfen die Header den Browsern, den Suchmaschinen und den Javascript-Bibliotheken (z.B. jQuery).

Theoretisch sollten die Header auch den Browser-Addons helfen, vorausgesetzt sie unterstützen diese Header.

Die Header müssen aber von beiden Domains gesetzt werden und sich selbst und auch gegenseitig erlauben.

[magic77]

ok - werde das mal mit einbauen und schauen ob ich es irgendwie getestet bekomme.