Mit der Headless Api ist es möglich CMS-Seiten auf über eine JSON-Schnittstelle direkt auf andere Websiten auszuliefern.
...
Url Muster werden zeilenweise gepflegt. Sie können folgende Formen haben.
Weitere Informationen: https://de.wikipedia.org/wiki/Uniform_Resource_Locator
Form | Beschreibung | |||||
---|---|---|---|---|---|---|
Exaktes Muster | Exaktes Muster
| |||||
Wildcards | Es ist möglich Wildcards einzusetzen, um die Url zu dynamisieren. Beispiel
|
Rechte
Es braucht eine öffentliche Rolle, mit der es möglich wird die Inhalte dieses Endpoints sowie die Inhalte der CMS-Seite auszuliefern.
Legen Sie dazu eine öffentliche Rolle an und wählen die entsprechenden Autorisierungen. Mindestens notwendig:
- „Headless Api“
- Für Tests zusätzlich „Headless Tester“
Konfiguration von
...
X-
...
Frame-
...
Options
Der Server muss die Anfragende Domain erlauben. Dazu ist es notwendig die Assets sowie die Datein, die von brandbox ausgeliefert werden freizugeben.
- Klicken Sie in der Navigationsleiste auf und loggen Sie sich als Administrator ein.
- Öffnen Sie den Bereich „Sicherheit“ und wählen „Security Header“.
- Geben Sie folgende Werte ein:
- Access-Control-Allow-Origin: Die Domain des Kunden
- Access-Control-Allow-Headers: -leer-
- Access-Control-Allow-Methods: -leer-
- Access-Control-Allow-Credentials: aktiv
Konfiguration von CSP
Info |
---|
Nur beim Betrieb in der lokalen Test-Umgebung |
- Klicken Sie in der Navigationsleiste auf und loggen Sie sich als Administrator ein.
- Öffnen Sie den Bereich „Sicherheit“ und wählen „Security Header“.
- Geben Sie die gewünschte Domain unter „Freigaben für Content-Security-Policy“ frei.
Codeblock | ||||
---|---|---|---|---|
| ||||
{
"default-src": "'self'",
"base-uri": "'self'",
"object-src": "'self'",
"img-src": "'self' data: https:\/\/www.google-analytics.com https:\/\/googleads.g.doubleclick.net https:\/\/www.google.com https:\/\/i.ytimg.com https:\/\/maps.googleapis.com https:\/\/maps.gstatic.com https:\/\/xyz.local.brandbox.de",
"child-src": "'self' https:\/\/*.paypal.com https:\/\/www.youtube.com https:\/\/www.youtube-nocookie.com",
"frame-src": "'self' https:\/\/*.paypal.com https:\/\/www.youtube.com https:\/\/www.youtube-nocookie.com",
"connect-src": "'self' https:\/\/*.paypal.com https:\/\/www.google-analytics.com https:\/\/xyz.local.brandbox.de",
"style-src": "'self' 'unsafe-inline' https:\/\/fonts.googleapis.com https:\/\/fonts.gstatic.com https:\/\/xyz.local.brandbox.de",
"font-src": "'self' https:\/\/fonts.googleapis.com https:\/\/fonts.gstatic.com https:\/\/xyz.local.brandbox.de"
} |
Test
...
- Frame-Einstellung: allow-from
- Domain für Frame-Option "allow-from": Die Domain des Kunden