• Главная
  •  > 
  • Интернет и связь
  •  > 
  • Яндекс метрика не открывается в браузере. Битрикс: Установлен запрет на отображение страницы во фрейме

Яндекс метрика не открывается в браузере. Битрикс: Установлен запрет на отображение страницы во фрейме

Потрясающе интересная штука вебвизор от компании Яндекс. Всего несколько строк кода, добавленных на сайт, и можно увидеть, как посетитель читал ваш сайт, куда кликал, как мышкой водил, как страницу прокручивал. Что оттолкнуло его, а что — привлекло внимание.

Сам счётчик можно создать здесь:

а описание и помощь — здесь:

Пример видеозаписи, в которой вы можете видеть, как именно пользователь себя ведёт на вашем сайте.

Честно говоря, когда я впервые стал использовать вебвизор, я пару дней смотрел, что делают пользователи на моём сайте, что они читает, какие части контента им не нравятся.

Благодаря вебвизору, я переписал часть контента, и страница стала давать минимум на 70% больше целевых действий (на том сайте это был обратный звонок), то есть почти в два раза больше отдачи на одном и том же материале.

Обратите внимание на цветной курсор мышки, линии движения пользователем и то, как прокручивается экран (начиная с 24-й секунды). Это всё делает пользователь, а владелец сайта может пронаблюдать потом в записи.

Но при пользовании вебвизором могут возникнуть проблемы.

И о решении их я хочу здесь рассказать, поскольку в сети нормального решения нет.

На странице должен быть установлен код счетчика

В этом случае нужно перейти в настройки счётчика, поставить галочку около слова «Вебвизор», а после этого — обязательно! — нажать кнопку сохранить. Без нажатия этой кнопки получить доступ к записям поведения пользователя не получится

С этой страницей что-то не так. Мы не можем воспроизвести посещение на ней. Возможные причины:Не установлен код счётчика

Установлен запрет на отображение страницы во фрейме

В этом случае нужно отключить расширения и плагины браузера, поскольку, вполне вероятно, проблема именно в них.

Для Google Chrome это делается следующим образом:

Откройте меню Chrome на панели инструментов браузера.Нажмите Инструменты.

Выберите Расширения.

На открывшейся странице снимите флажок «Включено» рядом с расширением, которое требуется временно отключить.

Отключенные расширения можно в любое время снова включить в списке расширений. Возможно, потребуется обновить страницу, чтобы на ней заработали только что включенные расширения.

Отключили расширения, перезагрузили браузер, снова запустили воспроизведение действий пользователя. Если всё хорошо, то просто включаем все расширения обратно.

С уважением, Александр Крылов

p.s. Нужно учитывать, что периодически сервис вебвизора сам по себе становится недоступным. На моей памяти в первый раз это было заметно в конце 2014 года, а во второй раз — в конце января 2015 года

Временами у вас могут возникнуть проблемы с вебвизором в метрике "Яндекс. Вебмастера". Вы хотите посмотреть запись посещения вашего сайта, но по непонятным причинам не можете. Скорее всего, установлен запрет на отображение страницы во фрейме.

Что сделать, если вебвизор не работает через "Яндекс. Метрику"

Для начала нужно проверить, включён ли у вас вообще вебвизор в метрике (в настройках счётчика). Заходим на страницу сайта, где установлен счётчик метрики. Переходим в просмотр кода страницы нажатием на (ctrl+u), комбинацией ctrl+f начинаем поиск нужного фрагмента кода, а именно - webwizor:true. Если в конце фрагмента стоит false, то код будет работать неправильно. Запрет на отображение страницы во фрейме (вебвизор) подтверждён.

Если вебвизор в метрике всё равно не воспроизводит действий пользователя, то есть несколько вариантов проблемы:

  1. Блокировка со стороны браузера клиента.
  2. Блокировка со стороны сервера, на котором «лежит» ваш сайт.

Рассмотрим оба варианта решения проблемы. Первый вариант: вебвизор не работает по причине блокировки браузером клиента, а значит, установлен запрет на отображение страницы во фрейме.

Блокировка со стороны браузера клиента

Необходимо убедиться в том, что у вас есть доступ к любому адресу Если в настройках выбран то включена блокировка. Доступ к ресурсам может блокироваться антивирусом (проверьте его настройки), фаерволом вашей системы или на уровне подсетей. Для устранения проблемы просто добавьте их в список доверенных сайтов, и проблема должна уйти.

Если проблема с установлением запрет на отображение страницы во фрейме всё-таки осталась, то просто зайдите с чистого браузера - это может быть режим "Инкогнито" или скачанный браузер без плагинов и дополнений, расширений (в случае с "Гугл Хром"). Этот подход устраняет проблему в 99 случаях из 100.

Блокировка со стороны сервера

Второй вариант: установлен запрет на отображение страниц во фрейме. Эту проблему решить немного сложнее, чем в первом случае.

  1. Открываем в "Яндекс. Метрике" раздел "Вебвизор", нажимаем f12 (после нажатия открываются инструменты разработчика).
  2. Вкладка "Консоль", перезагружаем страницу (F5).
  3. В списке ошибок будет подчёркнутая красная строка, там будет написано о проблеме.

Если установлена блокировка показа вашего сайта во фрейме, то в "Консоли" вы увидите такую строку: X-Frame-Options: SAMERIORIGN

В последнее время активно ведётся работа по решению этй проблемы, но пока в большинстве браузеров решение не поддерживается. Если вы убираете этот запрет, значит сознательно делаете свой для хакерских атак или просто взлома.

Приведем пример: В компании "1-С-Битрикс" говорят: "Вам важнее безопасность сайта или то, что вы не можете посмотреть действия пользователя на вашем сайте?" Для того чтобы убедиться, что именно по этой причине не работает вебвизор, и вы не можете посмотреть, что делают ваши пользователи на сайте, необходимо осуществить проверку ответа сервера на запрос в любом известном сервисе. Введите адрес страницы с установленным вебвизором и получите результат, как на скрине.

Установлен запрет на отображение страницы во фрейме, скрин свидетельствует об этом.

Вы все-таки решили снять запрет? Если он стоит на уровне конфигурации сервера, и вы поставили сайт на обратитесь в техподдержку.

Если запрет на уровне скрипта, различные cms делают запрос в свои библиотеки безопасности, поэтому проблему решить будет сложнее, чем вы думаете. Открыть страницу во фрейме не удалось? Обратитесь к разработчикам вашей CMS.

Как видите, если установлен запрет на отображение страницы во фрейме, проблему можно решить даже самостоятельно.

Иногда может возникнуть ситуация, когда не работает вебвизор в метрике. При попытке просмотреть запись посещения выскакивает сообщение об ошибке примерно с таким текстом:

На странице не найден код счетчика или установлен запрет на отображение страницы во фрейме

Сначала вообще проверим, включен ли у нас вебвизор в настройках счетчика. Быстро проверить это можно перейдя в режим просмотра кода (Ctrl+U). Ищем там код метрики и вызов вебвизора, а именно строку webvisor:true.

Если вебвизор не воспроизводит, но код на странице есть, тогда у нас осталось несколько вариантов:

  • блокировка со стороны клиентского браузера
  • блокировка со стороны сервера (пресловутый запрет на показ страницы во фрейме)

Вариант 1. Не работает вебвизор в метрике по причине блокировки клиентом

В этом случае необходимо убедиться, что есть доступ:

  • к metrika.yandex.ru и mc.yandex.ru
  • к *.yandex.net (если в настройках вебвизора выбрано «Загрузка страниц в плеер — от имени анонимного пользователя», то также доступ до ресурса)

Доступ к ним может быть закрыт антивирусом, фаерволом или на уровне корпоративной сети. Добавьте эти адреса в список доверенных и проверьте, осталась ли проблема.

Если проблема осталась, то попробуйте зайти с «чистого» браузера, где нет плагинов (особенно блокировщиков рекламы и антивирусных аддонов).

Этот подход в 99% случаев решает проблему воспроизведения в вебвизоре на уровне клиента.

Вариант 2. Установлен запрет на отображение страницы во фрейме

Тут всё немного сложнее. Но определить ошибку достаточно просто. Для этого в Яндекс Метрике:

  1. Откройте страницу вебвизора или карт, нажмите F12 (должны открыться инструменты разработчика);
  2. Выберите вкладку «консоль»;
  3. Перезагрузите страницу;
  4. В списке ошибок вы увидите строку, подсвеченную красным, где будет написано про возникшую проблему.

Если стоит блокировка показа сайта во фрейме, то в консоли вы увидите строчку X-Frame-Options: SAMEORIGIN , которая говорит, что данный сайт:

  • можно показывать во фреймах текущего хоста,
  • нельзя с любых других хостов.

Сейчас идет активная работа над внедрением разрешения показов в ифреймах выбранного хоста, но пока это решение браузерами не поддерживается (поправите меня, когда ситуация поменяется) .

Убрать этот запрет — значит осознанно внести на сайт уязвимость.

Поэтому каждый разработчик использует на свой страх и риск (например, в 1С-Битрикс так прямо и говорят: вам дороже безопасность сайта или то, что вебвизор не воспроизводит действия посетителей?).

Чтобы убедиться, что на сайте действительно стоит запрет, и по этой причине не работает вебвизор в яндекс метрике, нам нужно проверить ответ сервера в любом доступном сервисе, например . Вводим адрес нашей страницы и получаем такой результат:

Результат проверки ответа сервера

Мы видим эту строчку, значит причина найдена!

Как снять запрет показа страницы во фрейме?

Тут тоже может быть несколько вариантов. Запрет может стоять на уровне:

  • конфигурации сервера . Если у вас виртуальный хостинг, то без помощи техподдержки проблему не решить.
  • файла htaccess . Этот конфигурационный файл находится в корневой директории. Открываете его и удаляете нужную строчку.
  • скрипта . Многие CMS зашивают отправку данного заголовка в свои библиотеки безопасности, и вычислить их бывает достаточно сложно.

Например, в WordPress базовая защита стоит на уровне скрипта (wp-includes/functions.php). Или она может вызываться через плагин безопасности (известно, что плагин Security Pack может давать такой эффект).

Но и тут нет ничего сложного. Нужно просто пробежаться по файлам системы управления и поиском по фразе найти нужные файлы, из которых вырезать (или закомментить нужную строку). Нужная строка, это: header(«X-Frame-Options:sameorigin»);

Если у вас сайт находится на nic.ru (Ru-Center), то необходимо перевести его из автоматического в режим ручного управления, и далее удалить строку с запретом из файла ~/etc/nginx/имя_сайта.site. conf.

Удачной вам аналитики!

Возвращаясь к теме защиты контента сайта, нужно упомянуть еще защиту от просмотра сайта во фрейме другого сайта. Кроме того, что никто не сможет таким способом использовать ваш контент, в какой-то мере это поможет защититься от DDoS-атак, когда на сайте с большой посещаемостью ставится скрытый iframe со ссылкой на атакуемый сайт. Посещая основной сайт, пользователи помимо своей воли открывают также и сайт-жертву, создавая огромную нагрузку на него. Такие инциденты уже неоднократно происходили. В этой статье я попытался собрать различные способы защиты сайтов от открытия во фрейме и различные способы их преодоления.

Первый способ защиты основан на скриптах JavaScript. Его суть сводится к тому, что проверяется соответствие top-окна открытой странице, если они не совпадают, значит страница открыта во фрейме. При обнаружении такой несправедливости браузер перенаправляется на другую страницу. Я использую вот такой вариант скрипта для "побега" из фрейма:Есть еще один похожий вариант, который делает почти то же самое:И, наконец, скрипт, останавливающий загрузку страницы, если она открывается во фрейме. На мой взгляд, очень сомнительный способ.Все эти скрипты, понятное дело, должны находиться на защищаемом сайте. Долгое время все эти способы прекрасно работали, пока в HTML5 не появился специальный атрибут тега iframe - sandbox , который позволяет установить ограничения на контент, загружаемый во фрейме. Если этот атрибут имеет пустое значение, то на любой странице, которая открыта в этом фрейме, скрипты выполняться не будут. Соответственно, не выполнится и скрипт для "побега"."Песочница" поддерживается всеми современными браузерами (список браузеров и версии вы можете посмотреть ).

Для борьбы с "песочницей" я вижу только один вариант: часть контента сайта надо загружать динамически при помощи скриптов. Даже если страницу и удастся открыть во фрейме, запретив скрипты, то защищенная часть контента все равно будет недоступна.

Против первых двух скриптов, с помощью которых страница пытается "выпрыгнуть" из фрейма, поможет следующий скрипт, основанный на событии onbeforeunload , которое наступает, когда фрейм пытается подменить основную страницу.Браузер выдаст предупреждение, достаточно отменить переход и все, родительская страница на месте и во фрейме открыта нужная страница. Скрипты на ней при этом нормально выполняются. Не забывайте только снимать обработчик onbeforeunload , когда фрейм будет полностью загружен, иначе это же сообщение появится при любом переходе со страницы.

Для противодействия трюку с onbeforeunload надо использовать скрипт "Frame-Killer #3" или же вызывать первые два с небольшим интервалом.Рано или поздно пользователю наскучит диалог предупреждения, и, даже если защищенная страница откроется, нормально поработать с ней все равно не получится. А при использовании этого метода в браузерах Firefox и Chrome предупреждение об уходе вообще появилось только один раз, после чего страница спокойно "выпрыгнула" из фрейма.

На этом цепочку противостояния хитрой жопы и хера с винтом лучше остановить и перейти к защите на стороне сервера. Чтобы установить полный запрет загрузки вашего сайта во фреймах на других ресурсах, достаточно добавить в заголовки ответа сервера новый заголовок "X-Frame-Options". У заголовка может быть одно из трех значений:

  • SAMEORIGIN - Страница откроется во фрейме только в том случае, когда родительский документ расположен на том же домене. Оптимальный вариант для большинства сайтов.
  • DENY - Полный запрет открытия страницы во фрейме, независимо от домена.
  • ALLOW-FROM domain - Разрешает открывать страницу во фреймах указанного домена. Это значение поддерживается не всеми браузерами, поэтому его лучше не использовать.
Если в качестве веб-сервера используется Apache, то проще всего прописать этот заголовок в файл .htaccess

#
Header always set X-Frame-Options SAMEORIGIN
#
В этом случае он будет автоматически добавлен ко всем запрашиваемым страницам и документам. Если требуется добавлять заголовок X-Frame-Options не ко всем страницам, или же контролировать открытие на основании домена, или у вас нет возможности отредактировать файл.htaccess, или веб-сервер его не поддерживает, то лучше всего передавать этот заголовок в движке самого сайта. Например, на PHP.Также можно делать проверку на разрешенные домены, которая будет работать независимо от браузера клиента:Использование всех перечисленных методов защиты от просмотра сайта во фрейме позволит вам защититься от