我创建了一个小部件,并使用 iFrame 将其嵌入到其他网站上。我要做的是确保没有人可以查看源代码并复制 iFrame 代码并将其放在自己的网站上。
我可以在数据库中存储它应该被允许的 URL。我以前见过它,一个站点有一个很长的加密代码,如果它与域不匹配,那么它会说 Access Denied..
有人知道我该怎么做吗?
谢谢!
【问题讨论】:
标签: html security iframe widget
不,你不能这样做。您可以做的最好的事情是:
if (window.top.location.host != "hostname") {
document.body.innerHTML = "Access Denied";
}
将以上内容添加到您的 JavaScript 中,然后使用 JavaSript obfuscator
【讨论】:
window.top.location.host - 这将引用顶部框架的主机(尝试嵌入小部件的站点),而不是 window.location.host,它将是提供小部件。
您无法阻止人们查看您的 HTML,但有些标题可以让您指定哪些网站可以嵌入您的 iframe。查看X-Frame-Options 标头和Content-Security-Policy 的frame-ancestors 指令。尊重它的浏览器在嵌入到其他人的网站时会拒绝加载 iframe。
【讨论】:
在服务器上,在 IFRAME 中显示的页面的代码中,检查 Referer 标头的值。除非出于隐私原因阻止此标头,否则它包含托管 IFRAME 的页面的 URL。
【讨论】:
你所要求的几乎是不可能的。如果您在网络上提供源代码,则有人可以以一种或另一种方式复制它。任何 javascript 技巧都可以通过使用 wget 或 curl 等低级工具来解决。
因此,即使您保护它,您仍然会发现理论上有人可以复制代码(因为浏览器会接收它),并且如果确定的话,可以将它放在他们自己的网站上。
【讨论】:
我遇到了同样的问题,但我在主页上返回了用户。我传播了这个决定。
必须放在有 iframe 的地方
<script>
$(window).load(function () {
var timetoEnd = '';
var dstHost = 'YOUR-ALLOW-HOST';
var backToUrl = 'BACK-TO-URL';
function checkHost(){
var win = window.frames.YOUR-IFRAME-NAME;
win.postMessage('checkHost', dstHost);
console.log('msg Sended');
clearInterval(timetoEnd);
timetoEnd = setInterval(function () {
window.location.href = backToUrl;
}, 5000);
}
function validHost(event) {
if (event.data == 'checkHostTrue') {
clearInterval(timetoEnd);
console.log('checkHostTrue');
} else {
return;
}
}
window.addEventListener("message", validHost, false);
checkHost();
setInterval(function () {
checkHost();
}, 10000
);
});
</script>
它必须放在你的 src iframe 中
<script>
function receiveMessage(event)
{
if(event.data=='checkHost'){
event.source.postMessage("checkHostTrue",
event.origin);
} else {
return;
}
}
window.addEventListener("message", receiveMessage, false);
</script>
【讨论】:
我知道这是个老话题,但我有代码,你刚刚在 <script> 标签中添加了代码,它应该可以防止大多数好奇的人从 iFrame 中查看 html 文件:
if(window.top.location.pathname === window.location.pathname){
history.back()
}
【讨论】:
history.back 之前引发异常......并且从框架历史记录的第一页返回将带您到您已经在的页面。