什麼方法可以保護網頁，以便它只能從iFrame中查看？

Question

此線程創建於2008年Restricting IFRAME access in PHP

我正在尋找幾乎完全相同的東西。即，只要從具體的應用程序中從特定的iFrame中查看網站，我就想擁有可公開訪問的網站。 IFrame應用程序將具有用戶身份驗證，使他們可以訪問核心應用程序之外的URL。這些網址都可能使用開源PHP工具構建，例如WordPress的。

查看iFrame和查看的網站/頁面都將歸我們所有。

最近幾年有沒有關於如何做到這一點的發展？

由於與此特定問題無關的各種原因，我正在考慮使用服務器端RIA框架Vaadin（JAVA）來構建將包含iFrame查看器的應用程序。

嵌入控件的演示在這裏http://demo.vaadin.com/sampler#WebEmbed看看頁面源我看不到任何地方的嵌入式網頁的地址顯示。因此，在某種程度上，我想知道我是否可以將搜索引擎隱藏起來，給他們很長的隨機生成的URI，也許他們不可能找到？

Answer 1

您應該可以修改framekiller來做相反的事情。 framekiller是一塊javascript，通過檢測頁面是否已經加載到iframe中來防止點擊劫持。

限制iframe在特定頁面中加載更加困難。考慮引用很容易，但也容易繞過。如果您從https頁面加載iframe，則引用者將爲空。更好的方法是要求服務器獲取Nonce並將其包含在iframe url中。如http://iframe_url?key=difhj8j84528423j423894hfdj897或其他。讓服務器向你的服務器發出請求將是理想的。使用客戶端代碼和jsonp來獲取隨機數是有問題的，因爲攻擊者可能會傳遞修改後的JavaScript來獲取隨機數。