X-Frame-Options => Error al realizar una encuesta

Hola, buenos días. Estamos teniendo un error en G3W3 cuando queremos ver las encuestas. Tenemos G3W3 3.19.1 y kolla 4.5.0.
El error surge en chrome y firefox:

Refused to display ‘https://g3.unlpam.edu.ar/’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.


2022_02_21_captura.png

2022_02_21_captura.png

2022_02_21_captura2.png

2022_02_21_captura2.png

Hola Sergio,

Proba modificando en el archivo instalacion/alias.conf de Autogestión agregando la directiva X-Frame-Options, ej:


# Este template permite tener instalado en diferentes alias las diferentes unidades
# académicas y también define de manera centralizada todo el manejo de nombres en los dominios
# LOS ALIAS NO TIENEN QUE TENER PUNTOS
Alias /3w/trunk "/usr/local/app/src/siu/www"

<Directory "/usr/local/app/src/siu/www">
	Options FollowSymLinks
    DirectoryIndex index.php
    <IfModule !mod_authz_core.c>
            Order allow,deny
        Allow from all
    </IfModule>
    <IfModule mod_authz_core.c>
        Require all granted
    </IfModule>

        Header always set X-Frame-Options "SAMEORIGIN"

	# si se está en apache 2.4 comentar las dos líneas anteriores y poner esto
	# Require all granted
	AddDefaultCharset ISO-8859-1
	include /usr/local/app/instalacion/rewrite.conf
</Directory>

<Location /3w/trunk>
	# representa el id interno de la unidad académica. Se correponde con la entrada
	# en el archivo config.yml ua_<ACC_ID>. Ej: ua_VET
    SetEnv ACC_ID des01

	# se setea de esta manera para que esta variable sea accesible desde mod_rewrite
	# ATENCIÓN: el alias debe empezar con '/'
	SetEnvIf always_match ^ ACC_ALIAS=/3w/trunk
</Location>

Fíjate que agregue lo siguiente:

Header always set X-Frame-Options "SAMEORIGIN"

Luego reinicia Apache y volver a probar.

Referencia:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
https://programmerclick.com/article/54191865388/
https://docs.telerik.com/reporting/knowledge-base/refused-to-display-url-in-a-frame-because-it-set-x-frame-options-to-sameorigin

saludos.
2

Hola Leonel sigue con el mismo problema, te paso los dos archivos que creo que pueden estar relacionados:

alias.conf


<Directory "/usr/local/proyectos/g3w3/src/siu/www">
    Options FollowSymLinks
    DirectoryIndex index.php
    <IfModule !mod_authz_core.c>
        Order allow,deny
        Allow from all
    </IfModule>
    <IfModule mod_authz_core.c>
        Require all granted
    </IfModule>
        # si se est▒ en apache 2.4 comentar las dos l▒neas anteriores y poner esto
    # Require all granted
    #AddDefaultCharset ISO-8859-1
    AddDefaultCharset UTF-8
    Header always set X-Frame-Options "SAMEORIGIN"
    include /usr/local/proyectos/g3w3/instalacion/rewrite.conf
</Directory>

servicios_web_config.php


                'kolla' => array(
                        'tipo' => 'rest',
                        'parametros' => array(//usa cliente Guzzle, son opciones en formato guzzle
                                'base_uri' => "https://g3.unlpam.edu.ar/kolla/rest/",
                                'auth' => array('ue_guarani', 'XXXX', 'digest'), //user, password, tipo-autenticaci▒n 'basic' o 'digest' seg▒n guzzle
                                'verify' => false,
                        )
                ),

Hola Sergio,

También revisa el archivo instalacion/config.php deberias tener ‘url_kolla’ => ‘https://g3.unlpam.edu.ar/kolla/’,

Me parece que vas a tener que hacerlo también en Kolla, ya que ingrese a https://g3.unlpam.edu.ar/kolla/ y veo que en la solapa Network sección Headers dice X-Frame-Options DENY. En Autogestión dice (https://g3.unlpam.edu.ar/g3w3/) dice X-Frame-Options SAMEORIGIN lo cual estaría bien.

Quizás en lugar de configurarlo a nivel proyecto lo deberías configurar a nivel servidor Apache, revisa como tenes la directiva en el archivo httpd.conf de Apache, revisa este post donde dice Implement in Apache, IBM HTTP Server: https://geekflare.com/secure-apache-from-clickjacking-with-x-frame-options/

saludos.
2

Hola Leonel, agregando lo mismo en toba.conf de Kolla quedo solucionado.

Muchas gracias por todo y por la pronta respuesta.

Saludos cordiales