我在一个网站上拥有一个所见即所得的编辑器,对此我进行了扩展,以允许嵌入某些网站中的iframe,例如:
<iframe src="https://clips.twitch.tv/embed?...></iframe>
添加iframe的机制非常锁定(服务器使用API来嵌入iframe html),但是我担心的是,在此之后,有人编辑了POST
数据并更改了iframe src以供使用恶意内容。
我需要设置哪些标头,以确保DOM中加载的所有iframe来自白名单域?这需要专门用于iframe,因为用户当前可以嵌入任何域的图像。
注意:我在这里看到过很多帖子,询问关于将其网站嵌入另一个网站的问题。要清楚一点,这是相反的关系。