是否可以允许包含表单的域中的页面嵌入到未知域的页面中,并能够检测该页面上其他元素的DOM事件?
我要调查的问题是恶意方嵌入页面,然后在嵌入表单的顶部放置一个清晰的表单(所谓的click-jacking)。
问题是该表单旨在嵌入第三方网站,因此不能通过使用X-Frame-Option标头来限制。即使我们要求用户注册他们的域名,恶意用户也可以注册他们的域名!
所以我正在寻找一种方法来检测是否阻止了keydown之类的DOM事件传播到我的表单组件,但是由于clear form overlay将是一个兄弟元素并且超出了iframe的范围,我担心没有办法做到这一点。
我理解框架破坏的概念(但我们的嵌入意图是在一个框架中)和限制访问某些域的概念(但如上所述,这将无济于事),但是想知道是否有人有经验允许嵌入表单以及如何在嵌入表单后保护表单。