Not logged in. · Lost password · Register

eni
Member since Jul 2017
3 posts
Subject: HTTP/HTTPS und Uninetz im Clinch
Hallo zusammen,

Ich bin eine EDV-Hiwine aus der Geographie und habe mit unserem Webseiten-Team eigentlich nicht so viel am Hut. Jetzt musste ich vor einiger Zeit den Job vom Vorgänger-Homepage-Hiwi weiterführen und unter anderem seine angefangene OSM-Karten für die Webseite fertig "programmieren". Die Webseite läuft in Eigenregie von unserem Institut in WordPress (also es steht nicht unter den vom RRZE angebotenen WP-Angebot und -Support!). Mein Vorgänger hat das OSM-Plugin heruntergeladen und angefangen Inhalte via KML-Skripte in den vom OSM-Plugin generierten Karten einzubinden. Ich habe die von ihm rudimentär schon begonnenen Skripte dann fertig geschrieben, in WP hochgeladen und alles ordnungsgemäß eingebunden.
Soweit so gut. Nach etwa zwei Monaten fing dann nun alles an "zu kriseln". Wenn ich jetzt die Skripte via http-Link einbinde, funktionieren die Karten außerhalb vom Uni-Netz bei der Hälfte meiner "Testpersonen" auf allen gängigen Browsern unter OS/Ubuntu/Windoof. Außerhalb vom Uninetz schmeißt er meine kml-Skripte dagegen bei https-Protokollierung raus mit folgender Fehlermeldung:
XMLHttpRequest cannot load *Link zu meinem kml-Skript*. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://www.geographie.nat.uni-erlangen.de' is therefore not allowed access.

Bei der anderen Hälfte der "Außentester" und innerhalb vom Uni-Netz bzw. der FAUAD-Domäne funktionieren die Karten nur via https. Da bekomme ich nämlich bei einer http-Einbindung eine Fehlermeldung, die besagt, dass er gerne https als Protokoll hätte und nicht http (nach dem Umstellen läuft er ja dann auch wieder ordnungsgemäß).

Ich weiß es ist eine peinliche Frage, aber warum ist das so bzw. wieso bekomme ich ständig "widersprüchliche Ergebnisse"? Warum meckert er manchmal, dass ihm die CORS-Kopfzeile 'Access-Control-Allow-Origin' fehlt und manchmal nicht?

Hier zwei der betreffenden Seiten als Beispiel
- mit http-Einbindung: http://www.geographie.nat.uni-erlangen.de/internationales/…
- und mit https: http://www.geographie.nat.uni-erlangen.de/internationales/…

Liebe Grüße, Eni
Rachus
Member since Oct 2011
177 posts
+3 *Ralf, siccegge, feni
Soweit ich das verstanden habe: Für beispielsweise Firefox ist die URL http://www.geographie.nat.uni-erlangen.de eine andere Domain als die URL https://www.geographie.nat.uni-erlangen.de. Das heißt, man müsste Firefox erst explizit erlauben, zusätzliche Skripte von der „anderen“ Domain zu laden. Das ist ein Sicherheitsfeature um beispielsweise „Cross-Site-Scripting“ zu verhindern. Spontan sehe ich zwei Möglichkeiten (es gibt aber bestimmt mehr):

  • den Access-Control-Allow-Origin-Header mitschicken
  • oder besser: Zugriff generell (also auch von extern) nur noch über HTTPS erlauben (dann scheint ja alles wieder zu funktionieren!). Die Seite ist sowieso via HTTPS erreichbar, daher kann man den Server einfach so konfigurieren, dass er bei einer HTTP-Anfrage auf die HTTPS-Adresse weiterleitet.
eni
Member since Jul 2017
3 posts
Danke Rachus! Habe mal bei unserem FTP-Server ein bissel rumgeschaut und gesehen, dass meine Vorgesetzten aus irgendeinem Grund die Weiterleitung einer HTTP-Anfrage auf ne HTTPS-Adresse von Seite zu Seite unterschiedlich konfiguriert haben....Danke für deinen Input! :)
Close Smaller – Larger + Reply to this post:
Verification code: VeriCode Please enter the word from the image into the text field below. (Type the letters only, lower case is okay.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Special characters:
Go to forum
Datenschutz | Kontakt
Powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2011 by Yves Goergen