此主题是在2008年Restricting IFRAME access in PHP
创建的我期待几乎完全相同的事情。即,我希望网站可以公开访问,只要从特定的iFrame中查看特定的应用程序即可。 IFrame应用程序将具有用户身份验证,允许他们访问核心应用程序之外的URL。网址都可能使用开源PHP工具构建,例如WordPress的。
观看iFrame和查看过的网站/网页都归我们所有。
过去几年有没有关于如何做到这一点的发展?
由于与此特定问题无关的各种原因,我正在考虑使用服务器端RIA框架Vaadin(JAVA)来构建包含iFrame查看器的应用程序。
嵌入小部件的演示在这里http://demo.vaadin.com/sampler#WebEmbed查看页面源我没有看到任何地方显示嵌入式网页的地址。所以在某种程度上我想知道我是否可以将我的网址隐藏在搜索引擎中,给他们提供非常长的,随机生成的URI,也许他们无法找到它们?
答案 0 :(得分:0)
你应该能够修改framekiller来做相反的事情。帧杀手是一段javascript,通过检测页面是否已在iframe中加载来防止点击劫持。
限制iframe在特定页面中加载更加困难。看着引用者很容易,但也容易绕过。如果从https页面加载iframe,则引用将为空。更好的方法是要求服务器获取Nonce并将其包含在iframe URL中。比如http://iframe_url?key=difhj8j84528423j423894hfdj897或其他什么。让服务器向您的服务器发出请求将是理想的选择。使用客户端代码和jsonp来获取nonce是有问题的,因为攻击者可以提供修改后的javascript来获取nonce。