1. 首頁
  2. 問答
  3. 如何阻止訪問用於嵌入的Web應用程序?

如何阻止訪問用於嵌入的Web應用程序?

2014-02-10 82 views
0

我有一個網絡應用程序http://embed.myapp.com,旨在將其嵌入一些白名單網站。框架訪問控制在X-Frame-Options ALLOW-FROM如何阻止訪問用於嵌入的Web應用程序?

但是,我不希望用戶通過將上述鏈接直接放入Web瀏覽器來訪問它。

阻止普通(非嵌入式)訪問的最佳方式是什麼?

我可以確定網站是否嵌入了JavaScript,但到那時已經創建了一個會話,並且可以看到某些敏感信息,如CSRF令牌。

來源

2014-02-10 Victor Lyuboslavsky

回答

1

您可能並不完全瞭解阻止用戶直接查看內容的絕對萬無一失的方法。

捕獲大多數情況的一種簡單方法是查看服務器端的引用標頭(http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html部分14.36),並僅在從正確的頁面引用內容時才提供內容。

來源

2014-02-10 00:47:22 leonm

+0

用戶/瀏覽器禁用引用標頭常見嗎?如果請求在沒有引用標題的情況下進入,我怎麼知道標題是否被簡單禁用或者用戶是否試圖直接查看內容? –

+0

瀏覽器流量禁用引用標頭並不常見,但用戶可以肯定使用curl來繞過這一措施。這不是萬無一失,但它會阻止大部分不必要的流量。編輯:請記住,任何人都可以使用chrome開發工具查看代碼,因此您無法真正停止訪問它。 – leonm

相關問題

 相關問題