Google kalender in Wordpress met Firefox

on4bam · 23 mei 2020, 14:40

Hi,

Ik beheer de website van onze club en dat werkt al vele jaren goed. Kleine probleempjes werden steeds opgelost of omzeild.
2 jaar teug zijn we omgeschakeld van Joomla naar Wordpress en sindsdien hebben we een pagina met een Google kalender (niet door mij beheerd). Iedereen lijk die gewoon te kunnen bekijken maar één gebruiker krijgt enkel een blanco veld waar de kalender zou moeten staan. Dit is blijkbaar al een tijdje zo maar nu, waarschijnlijk na een update van Firefox (win10), krijgt hij een foutmelding:

Code: Selecteer alles

<< Geblokkeerd door beleid voor  X-Frame-Options.>>

De gebruiker is een volledige "noob" en ik heb er alle vertrouwen in dat hij niet iets veranderd heeft in zijn settings via de about: pagina. In de options sectie heb ik niets abnormaal opgemerkt tijdens een Teamviewer sessie.

Helaas kan ik zelf het probleem niet reproduceren op verschillende apparaten met FF, ook niet in private mode of safe mode (zonder add-ons).
Iemand een idee hoe dit op te lossen?

24 mei 2020, 14:10

Embed-code voor Google kalenders ziet er als volgt uit:

Code: Selecteer alles

<iframe src="https://calendar.google.com/calendar/embed?src=geo*******7%40import.calendar.google.com&ctz=Europe%2FBrussels" style="border: 0" width="800" height="600" frameborder="0" scrolling="no"></iframe>

Als je die URL opvraagt zal je zien dat in de headers volgende directive staat:

Code: Selecteer alles

x-xss-protection: 1; mode=block

Dit is mogelijk de reden waarom die niet gerenderd wordt: https://www.keycdn.com/blog/x-xss-protection .

Waar ik nog aan denk is HSTS: De kalender wordt over HTTPS opgevraagd terwijl mogelijk de club-website dat niet wordt.
Test eens of dat een verschil maakt?

Ernie · 24 mei 2020, 14:34

Ik ben dit probleem toevallig afgelopen week ook tegen gekomen.
Had iets te maken met FF <-> cloaking en misschien W10, maar dat is maar een guess voor het geval iets kan toevoegen/helpen.

on4bam · 25 mei 2020, 00:05

meon schreef:Embed-code voor Google kalenders ziet er als volgt uit:

Klopt, die werd ook gewoon ge C/P'd van de google site

meon schreef: Als je die URL opvraagt zal je zien dat in de headers volgende directive staat:
Code: Selecteer alles
x-xss-protection: 1; mode=block
Dit is mogelijk de reden waarom die niet gerenderd wordt: https://www.keycdn.com/blog/x-xss-protection .

Ik zie dat nergens staan. Geen idee waar te vinden. Het probleem is dat het slechts bij 1 user is.
Ik zie wel dat ik in about:config van FF die X-XSS-Protection: kan toevoegen en op true of false zetten.
Nu denk ik dat dit toevoegen en op False zetten niet zo'n goed idee is.

meon schreef:Waar ik nog aan denk is HSTS: De kalender wordt over HTTPS opgevraagd terwijl mogelijk de club-website dat niet wordt.
Test eens of dat een verschil maakt?

Onze site is volledig https (forced) net als de kalender.

Alleszins bedankt voor het meedenken.

CCatalyst · 25 mei 2020, 00:59

on4bam schreef:
meon schreef:Embed-code voor Google kalenders ziet er als volgt uit:
Klopt, die werd ook gewoon ge C/P'd van de google site

Toch niet, je iframe bevat www.google.com, de correcte embed link is calendar.google.com, zoals meon aangegeven heeft.

Dat is belangrijk, omdat de www.google.com weliswaar een 301 naar calendar.google.com geeft, maar wel met ook die X-Frame-Options header in. De calendar.google.com stuurt die X-Frame-Options header niet.

Nadat je dit aangepast hebt, cache volledig leegmaken en FireFox herstarten en dan nog liefst in een private window proberen.

Waarom het zich enkel bij die ene client stelt kan ik niet meteen verklaren, ik zou denken richting een transparente proxy die iets verandert aan de data, of toch iets veranderd aan de default instellingen van FireFox.

Luboli · 25 mei 2020, 02:05

Die kalender werkt bij mij op firefox ook niet met enhanced tracking protection aan, als je die uit zet werkt het wel.

on4bam · 25 mei 2020, 09:25

CCatalyst schreef: Toch niet, je iframe bevat www.google.com, de correcte embed link is calendar.google.com, zoals meon aangegeven heeft.

Damn, over gekeken. Dezelfde code staat daar al in vanaf de overgang van Joomla naar WP. In die periode (+2 jaar) met de embed code dus veranderd zijn bij de kalender.

CCatalyst schreef:Nadat je dit aangepast hebt, cache volledig leegmaken en FireFox herstarten en dan nog liefst in een private window proberen.

Waarom het zich enkel bij die ene client stelt kan ik niet meteen verklaren, ik zou denken richting een transparente proxy die iets verandert aan de data, of toch iets veranderd aan de default instellingen van FireFox.

Ik zal de user proberen duidelijk te maken om een paar CTRL-F5 te doen (hopelijk is dat voldoende) of eventueel zijn PC eens overnemen met teamviewer.
Aangezien ik zelf nergens hetzelfde probleem heb kan ik niet testen, ik zal moeten afwachten tot ik hem te pakken krijg. Iets veranderd aan zijn default settings betwijfel ik heel hard, hij durft zelf niets te veranderen en heeft zelfs zijn antivirus in een winkel laten installeren.

bitbite · 25 mei 2020, 09:35

Was het niet zo dat Mozilla (FF makers) features druppelsgewijs aanzetten, in plaats van heel de wereld tegelijk? Misschien dat je kennis toevallig een gelukkige is en dat jij zo gewaarschuwd wordt zonder dat het plots plat gaat voor heel de club.

CCatalyst · 25 mei 2020, 09:56

bitbite schreef:Was het niet zo dat Mozilla (FF makers) features druppelsgewijs aanzetten, in plaats van heel de wereld tegelijk?

Klopt, je kan de settings wel manueel reeds activeren, maar als dat niet gebeurt, is het idd op een willekeurig moment en dan kan je evengoed bij de eersten of bij de laatsten zijn. Chrome doet dat overigens ook.

Maar die "enhanced tracking protection", zoals hierboven al aangegeven, lijkt me wel een goede kanshebber als oorzaak.

on4bam · 25 mei 2020, 09:57

Nee, het is reeds een probleem sinds een paar versies terug (wss 2 of 3). Ik moet wel zeggen dat wanneer er ook maar het minste scheelt, hij de eerste is die het opmerkt of last van heeft

Extra info 19u45
Aanpassing van de embed code bracht geen soelaas. Om de kalender te zien gebruikt hij nu al een tijdje Chrome, daar werkt het dus wel.
Voordeel van deze Coronaperiode is wel dat voorlopig alle activiteiten geannuleerd zijn, de kalender is nu dus niet zo belangrijk.

CCatalyst · 26 mei 2020, 10:58

on4bam schreef: Extra info 19u45
Aanpassing van de embed code bracht geen soelaas. Om de kalender te zien gebruikt hij nu al een tijdje Chrome, daar werkt het dus wel.
Voordeel van deze Coronaperiode is wel dat voorlopig alle activiteiten geannuleerd zijn, de kalender is nu dus niet zo belangrijk.

Even gecheckt op Firefox bugtracker en er zijn idd verschillende meldingen inzake problemen met XFO, in het bijzonder icm Google. Bug komt niet bij iedereen voor, Win 10 gebruikers lijken het meest getroffen. Dat zou dan weer aan Google liggen die blijkbaar verschillende headers (inclusief of niet inclusief XFO) stuurt afhankelijk van de User-agent.

Wat je nog eens kan proberen: wanneer de site geladen is, op het schild links naast de URL klikken, en tracking protection uitschakelen voor de site.

Enige suggestie die ik daarnaast nog kan geven is om een update uit te voeren naar de laatste versie.

Indien dat geen soelaas brengt, dan is er dit in afwachting van een definitieve oplossing: https://addons.mozilla.org/en-US/firefo ... ns-header/

on4bam · 26 mei 2020, 11:25

CCatalyst schreef:Wat je nog eens kan proberen: wanneer de site geladen is, op het schild links naast de URL klikken, en tracking protection uitschakelen voor de site.

Het is niet bij mij en de man profiteert nu van het goede weer om meer in zijn tuin bezig te zijn... Ik kan dus niet veel (laten) proberen. Hoewel hij altijd ingenieur elektronica geweest is gaat het met computers heel moeizaam (hij is ook al 80). Werken met software is geen probleem maar iets instellen/aanpassen is een betonnen muur voor hem.

CCatalyst schreef:Enige suggestie die ik daarnaast nog kan geven is om een update uit te voeren naar de laatste versie.

Alles staat bij hem "default" en updates worden automatisch uitgevoerd (zowel Windows als FF en al de rest

)

CCatalyst schreef:Indien dat geen soelaas brengt, dan is er dit in afwachting van een definitieve oplossing: https://addons.mozilla.org/en-US/firefo ... ns-header/

Mmmmm, ik had gezien dat in de FF opties de XSS kon uitgeschakeld worden maar dan is dat voor alle sites dus dat leek niet aangewezen. Deze add-on kan per site ingesteld worden dus dat ziet er beter uit.

Nu hopen dat ik hem te pakken krijg vandaag en dan, om tijd te sparen, Teamviewer gebruiken.

Update:
Via teamviewer de add-on geinstalleerd.
3 lijnen toegevoegd:
*//on6wl.be/*
*//accounts.google.com/
https://calendar.google.com/*

FF herstart en nog steeds blokkering ook na vele CTRL-F5
FF herstart in "safe mode", nog steeds blokkering.

Enige add-on was zijn antivirus, nu dus ook de ignore x-frame add-on.
Wegens tijdsgebrek niet verder geprobeerd.

Code: Selecteer alles

Geblokkeerd door beleid voor X-Frame-Options

Fout tijdens het verbinden met accounts.google.com.

Firefox heeft voorkomen dat de pagina in deze context werd geladen, omdat de pagina een beleid voor X-Frame-Options heeft dat dit niet toestaat.

CCatalyst · 26 mei 2020, 20:18

on4bam schreef:

Code: Selecteer alles

Geblokkeerd door beleid voor X-Frame-Options

Fout tijdens het verbinden met accounts.google.com.

Firefox heeft voorkomen dat de pagina in deze context werd geladen, omdat de pagina een beleid voor X-Frame-Options heeft dat dit niet toestaat.

Hier wordt er nooit verbinding gemaakt via jouw website/kalender met accounts.google.com, noch op Firefox noch op een andere browser. Dat zal wellicht zijn wat ze bedoelen met dat Google er extra headers zit in te smijten afh van de User-agent.

Heb je eens geprobeerd terwijl hij ingelogd is op Google of heeft hij geen account?

on4bam · 26 mei 2020, 23:46

CCatalyst schreef:Heb je eens geprobeerd terwijl hij ingelogd is op Google of heeft hij geen account?

Ik denk niet dat hij een google account heeft. Ik heb er wel enkele maar blijf nooit ingelogd.

Blijkbaar hebben ze bij Mozilla ook een probleem om de oorzaak te vinden aangezien het random voorkomt.

CCatalyst · 27 mei 2020, 09:04

Wel die redirect naar accounts.google.com is wellicht naar het formulier om in te loggen op een account (want dat is het voornaamste dat daarop gehost wordt) en dat zou iig botsen met de XFO. Geen idee waarom Google die client daarvoor dan selecteert, want het is een publieke kalender en ik krijg nooit de vraag om in te loggen om de kalender te zien, ook niet in incognito.

Het zal zoals reeds gesuggereerd meer dan waarschijnlijk te maken hebben met de gegevens die de client stuurt, de User-agent string, misschien ook het IP adres of nog iets anders, waardoor Google misschien denkt dat het een bot is of dat er extra beveiliging nodig is oid. Het kan ook gewoon een bug zijn.

Iig niet iets dat wij meteen kunnen oplossen denk ik, dat zal aan Firefox en Google zijn. Je kan hem misschien gewoon de calender.google.com URL geven en laten bookmarken, als dat werkt?

on4bam · 27 mei 2020, 09:52

Het is niet mijn kalender (wordt beheerd door voorzitter van de club) ik mag enkel de embed code op de site zetten

Hij bekijkt de kalender via Chrome dus dat is ook niet een onoverkomelijk probleem maar voor 1 pagina een andere browser gebruiken is ook wel een stomme oplossing.
Ik blijf het raar vinden dat een zo goed als "out of the box" FF (bij hem) problemen geeft en een FF met een hoop add-ons en restricties (bij mij) gewoon werkt. En dit soort dingen blijft mij dan irriteren

profke · 27 mei 2020, 09:53

zet de "embed code" dan ook even in de favourites van die ene persoon

CCatalyst · 27 mei 2020, 10:01

on4bam schreef: Ik blijf het raar vinden dat een zo goed als "out of the box" FF (bij hem) problemen geeft en een FF met een hoop add-ons en restricties (bij mij) gewoon werkt. En dit soort dingen blijft mij dan irriteren

Dat snap ik

maar het is weer "Google being Google".

Er zal ergens een reden zijn waarom Google aan die specifieke Firefox niet zomaar de kalender wil presenteren, en de volgende stap zou zijn om te kijken naar wat Firefox precies stuurt en zo uiteindelijk via vergelijking en eliminatie op zoek te gaan naar wat precies de trigger is, maar dat overstijgt dit forum en is ook een werk waar heel veel tijd in kan kruipen. Ikzelf heb dit iig ook op geen enkele manier kunnen reproduceren, telkens werd de kalender gepresenteerd zonder problemen.

Dat de devs van Firefox er voorlopig ook geen raad mee weten zegt eigenlijk al veel over de mogelijke complexiteit.

on4bam · 05 jun 2020, 19:06

Vandaag een update:

Gisteren heeft de user een update van FF gedaan naar FF 77.0.1 maar dat maakte geen verschil. Hij heeft nu ook verder gezocht en heeft idd. een google account omdat hij een Android smartphone had. 2 maanden terug is die vervangen door een Android tablet. Bij zijn zoektocht naar de google account (zijn kinderen hebben dat aangemaakt) heeft hij kunnen inloggen en zag hij dat zijn smartphone al 60+ dagen niet actief geweest was.
Toen hij later op de website kwam was de kalender actief zonder foutmeldingen. Mijn vermoeden is dat er een cookie gezet is in FF. Het weer uitloggen van Google maakte geen verschil uit.

Het is dus zoals een politicus al zei, het is er vanzelf gekomen, het zal vanzelf weg gaan... bij deze klopt het dus. Het blijft natuurlijk knagen dat ik niet weet wat nu juist de oorzaak en de oplossing was. Maar het werkt, dat is het voornaamste.
Op naar het volgende probleem.