HTTP/HTTPS und Uninetz im Clinch

system · 3. Juli 2017 um 15:52

Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.

eni · 3. Juli 2017 um 15:52

HTTP/HTTPS und Uninetz im Clinch
Hallo zusammen,

Ich bin eine EDV-Hiwine aus der Geographie und habe mit unserem Webseiten-Team eigentlich nicht so viel am Hut. Jetzt musste ich vor einiger Zeit den Job vom Vorgänger-Homepage-Hiwi weiterführen und unter anderem seine angefangene OSM-Karten für die Webseite fertig “programmieren”. Die Webseite läuft in Eigenregie von unserem Institut in WordPress (also es steht nicht unter den vom RRZE angebotenen WP-Angebot und -Support!). Mein Vorgänger hat das OSM-Plugin heruntergeladen und angefangen Inhalte via KML-Skripte in den vom OSM-Plugin generierten Karten einzubinden. Ich habe die von ihm rudimentär schon begonnenen Skripte dann fertig geschrieben, in WP hochgeladen und alles ordnungsgemäß eingebunden.
Soweit so gut. Nach etwa zwei Monaten fing dann nun alles an “zu kriseln”. Wenn ich jetzt die Skripte via http-Link einbinde, funktionieren die Karten außerhalb vom Uni-Netz bei der Hälfte meiner “Testpersonen” auf allen gängigen Browsern unter OS/Ubuntu/Windoof. Außerhalb vom Uninetz schmeißt er meine kml-Skripte dagegen bei https-Protokollierung raus mit folgender Fehlermeldung:
[color=crimson]XMLHttpRequest cannot load Link zu meinem kml-Skript. No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Origin ‘http://www.geographie.nat.uni-erlangen.de’ is therefore not allowed access.
[/color]
Bei der anderen Hälfte der “Außentester” und innerhalb vom Uni-Netz bzw. der FAUAD-Domäne funktionieren die Karten nur via https. Da bekomme ich nämlich bei einer http-Einbindung eine Fehlermeldung, die besagt, dass er gerne https als Protokoll hätte und nicht http (nach dem Umstellen läuft er ja dann auch wieder ordnungsgemäß).

Ich weiß es ist eine peinliche Frage, aber warum ist das so bzw. wieso bekomme ich ständig “widersprüchliche Ergebnisse”? Warum meckert er manchmal, dass ihm die CORS-Kopfzeile ‘Access-Control-Allow-Origin’ fehlt und manchmal nicht?

Hier zwei der betreffenden Seiten als Beispiel

mit http-Einbindung: http://www.geographie.nat.uni-erlangen.de/internationales/kollaboration/
und mit https: http://www.geographie.nat.uni-erlangen.de/internationales/incoming/

Liebe Grüße, Eni

Rachus · 3. Juli 2017 um 17:11

Soweit ich das verstanden habe: Für beispielsweise Firefox ist die URL [m]http://www.geographie.nat.uni-erlangen.de[/m] eine andere Domain als die URL [m]https://www.geographie.nat.uni-erlangen.de[/m]. Das heißt, man müsste Firefox erst explizit erlauben, zusätzliche Skripte von der „anderen“ Domain zu laden. Das ist ein Sicherheitsfeature um beispielsweise „Cross-Site-Scripting“ zu verhindern. Spontan sehe ich zwei Möglichkeiten (es gibt aber bestimmt mehr):

den [m]Access-Control-Allow-Origin[/m]-Header mitschicken
oder besser: Zugriff generell (also auch von extern) nur noch über HTTPS erlauben (dann scheint ja alles wieder zu funktionieren!). Die Seite ist sowieso via HTTPS erreichbar, daher kann man den Server einfach so konfigurieren, dass er bei einer HTTP-Anfrage auf die HTTPS-Adresse weiterleitet.

eni · 15. Juli 2017 um 15:11

Danke Rachus! Habe mal bei unserem FTP-Server ein bissel rumgeschaut und gesehen, dass meine Vorgesetzten aus irgendeinem Grund die Weiterleitung einer HTTP-Anfrage auf ne HTTPS-Adresse von Seite zu Seite unterschiedlich konfiguriert haben…Danke für deinen Input!