我想通过自己提供代码,允许用户在iframe中嵌入我网站页面的特定部分。这个页面只是为了向我的网站所针对的观众展示一些有趣的内容。我不知道其他任何方式,但给他们这样的代码:
<iframe src='A' width='B' height='C' frameborder='D'></iframe>
其中'A'是iframe
和'B'中嵌入的页面,'C'和'D'是可选参数,因此用户可以执行一些自定义。
'A'不是用户获取代码的页面。 “A”是某些用户最终希望嵌入其网站的页面的克隆。简单来说,“A”只是该页面的部分 ...在完整不同的页面中。
但我不知道对我来说会有什么样的风险,如果有的话。或者,如果有另一种方法来接近我想要的东西。或者如何允许用户只嵌入该页面而不是其他页面。
我正在做什么,或者我在这里缺少一些基本的安全性东西?
答案 0 :(得分:0)
浏览器非常依赖于iframe中可以使用来自不同来源的来源访问的内容。他们无法访问嵌入页面中的任何DOM对象,url或js。
您可以使用http标头锁定可以放入iframe的页面。
您不想要iframed的页面
X-Frame-Options: DENY
您只想要iframed的页面
X-Frame-Options: SAMEORIGIN
您只想要某个uri所照片的页面(Chrome,Opera不支持)
X-Frame-Options: ALLOW-FROM uri
来源 https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options