Zu Content springen
Deutsch
Anmelden
Zum Kundenportal
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

📎 iFrame: Technische Voraussetzungen für die Einbettung von Drittanbieter-Inhalten

Dieser Artikel beschreibt die technischen Voraussetzungen, die Drittanbieter-Webseiten erfüllen müssen, damit sie erfolgreich per iFrame in ValueStreamer eingebettet werden können.

🔍 Inhalt

HTTP Header & CSP-Vorgaben

Damit Inhalte eines Drittanbieters im iFrame dargestellt werden können, muss die Webseite dies ausdrücklich erlauben.

Blockierende Mechanismen:

  • X-Frame-Options: DENY → blockiert iFrame immer

  • X-Frame-Options: SAMEORIGIN → erlaubt nur Einbettung auf gleicher Domain

  • Content-Security-Policy: frame-ancestors ... → zentrale Steuerung für iFrames

Erlaubt ist die Einbettung nur, wenn einer der folgenden Punkte erfüllt ist:

  • Kein X-Frame-Options-Header gesetzt

  • Content-Security-Policy erlaubt explizit die ValueStreamer-Domain, z. B.:

 
Content-Security-Policy: frame-ancestors https://kunde1.valuestreamer.de;

🚡 Hinweis: Bei mandantenfähiger Subdomain-Struktur müssen ggf. Wildcards erlaubt sein (*.valuestreamer.de).

Moderne Browser blockieren HTTP-Inhalte innerhalb einer HTTPS-Seite.

Voraussetzungen:

  • Die Drittanbieter-URL muss über https:// erreichbar sein

  • Ein gültiges SSL-Zertifikat muss vorliegen

⚠️ Achtung: HTTP-Inhalte in HTTPS-iFrames werden als "Mixed Content" blockiert.

Authentifizierung & Cookies

Falls die eingebettete Seite eine Authentifizierung benötigt, muss diese im iFrame funktionieren.

Empfehlungen:

  • Bevorzugt tokenbasierte Authentifizierung (z. B. Embed-Token, Signed URL)

  • Alternativ: SSO via SAML/OIDC mit gemeinsamem Identity Provider

Technische Einschränkungen:

  • Cookies müssen SameSite=None; Secure gesetzt sein

  • Drittanbieter-Cookies können durch Browser blockiert werden (Privacy Settings)

✨ Tipp: Wenn Login im iFrame scheitert, Fallback-Link zum „Öffnen in neuem Tab“ anbieten.

Quick-Check bei Anzeigeproblemen

Fehlerdiagnose in der Browser-Konsole:

  1. refused to display in a frame → X-Frame-Options oder CSP blockieren

  2. Mixed Content-Warnung → HTTP-URL eingebettet

  3. CSP-Fehler zu frame-ancestors

  4. Cookies oder SSO schlagen fehl (z. B. Session nicht gesetzt)

Anforderungen an Drittanbieter (Copy-Paste-Template)
Bitte erlauben Sie iFrame-Einbettung für folgende Origin(s):

Setzen Sie dazu z. B. folgende Header:

 
Content-Security-Policy: frame-ancestors https://app.valuestreamer.de;

Bitte entfernen Sie ggf. X-Frame-Options: DENY oder passen Sie diesen Header entsprechend an.

Die eingebettete URL muss per HTTPS erreichbar sein.

Falls ein Login erforderlich ist: Bitte SSO- oder Token-basierte Authentifizierung anbieten.

✨ Tipps & Best Practices

  • Technische Abstimmung mit der IT des Drittanbieters frühzeitig einplanen

  • Ideal für die Integration: statische Dashboards, Dokumentationen, interaktive Formulare

  • Fallback-Optionen für nicht kompatible Inhalte bereitstellen (z. B. Link öffnen)

❓ FAQ

Warum wird die eingebettete Seite im iFrame nicht angezeigt?

  • Meist blockieren X-Frame-Options oder frame-ancestors

  • HTTP statt HTTPS

  • Authentifizierung via Cookies scheitert

Wie kann ich prüfen, ob die Einbettung blockiert wird?

  • Über die Browser-Konsole (Netzwerk- & Security-Tab)

  • Entwicklertools zeigen blockierende Header an

Was tun, wenn der Drittanbieter keine Einbettung erlaubt?

  • Direkte Abstimmung mit der IT des Anbieters notwendig

  • Alternativen: Link im neuen Tab öffnen oder Inhalte exportieren (PDF, Screenshot)

Können eingebettete Inhalte interaktiv genutzt werden?

  • Ja, sofern keine technischen Einschränkungen (z. B. blockierte JS-Funktionen) bestehen

Gibt es ein Limit für eingebettete Inhalte?

  • Technisch nicht durch ValueStreamer limitiert, aber Performance & Sicherheit beachten