我想托管一个只能通过我自己网域内的iframe投放的网页。
野外的一个例子是Codepen。他们在iframe中对“笔”的内容进行沙盒处理,但如果您尝试从浏览器加载该网址,则会以空白页面进行响应。
我知道这个问题可能有多个答案,但我希望有人能指出我正确的方向。
我会检查引荐来源服务器端吗?还有其他选择吗?
答案 0 :(得分:2)
Referer是服务器端的良好开端。
您也可以尝试使用CORS标头: Only allow iframe to load content
使用客户端javascript代码进行验证: How to identify if a webpage is being loaded inside an iframe or directly into the browser window?
另请查看有关referrerpolicy的信息
https://developer.mozilla.org/en-US/docs/Web/HTML/Element/iframe#attr-referrerpolicy