如何在J2EE中检测到请求来自iframe?

时间:2014-04-29 18:55:14

标签: java-ee

我需要阻止\允许我的应用程序的某些请求(取决于请求的来源),如果它被嵌入到iframe中。 在这种情况下是否有可能有用的标题?

1 个答案:

答案 0 :(得分:0)

您可以禁止将网页包含在现有浏览器的框架中,其http标头为X-Frame-Options DENYX-Frame-Options SAMEORIGIN。除此之外,您无法检测页面是在帧中还是在服务器端。您可以在js中检查客户端:window.self !== window.top

如果您正在尝试阻止点击劫持,建议的方法是nounce。