如何仅允许列入白名单的网站嵌入iframe?
我有一个表单,我想嵌入到一个网站中,它在我的白名单上。
尝试嵌入它的其他网站应该只得到一个错误页面。
<iframe src="https://domain.tld/getForm.php?embed=1&formId=123456"></iframe>
我希望我可以使用in来检查嵌入网站,但它不起作用。$_SERVER['HTTP_REFERER']getForm.php
有谁知道最佳实践或任何解决方法吗?
提前致谢!
答案 1
内容安全策略标头现在是推荐的方法。
来自MDN的示例:
// iframe can be embedded in pages on the origin and also on https://www.example.org
Content-Security-Policy: frame-ancestors 'self' https://www.example.org;
有关更多详细信息,请参阅: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors
答案 2
大多数浏览器将支持 X-Frame-Options 标头。
此标头将阻止访问:
X-Frame-Options: SAMEORIGIN
和这个标头允许访问:
X-Frame-Options: ALLOW-FROM [uri]
选项示例:
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/
PHP 中的一个例子:
<?php header('X-Frame-Options: SAMEORIGIN'); ?>
您可以在此处进一步阅读:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
希望它能有所帮助!
推荐
-
相当于Java中PHP的crypt函数 我正在将我的PHP代码迁移到Google App Engine - Java。因此,我需要一个相当于Java中PHP的crypt函数,因为我已将使用crypt的注册用户的所有密码存储在我的数据库中。 编辑1:这是我用于加密密码的php
-
需要有关如何从接受语言请求标头获取首选语言的示例 我需要一个代码示例或库来解析标头并返回我的首选语言。 指出: “接受语言请求标头”字段类似于“接受”,但限制首选作为请求响应的自然语言集。语言标记在第 3.10 节中定义。
-
无法在 Java 和 PHP 之间交换使用 AES-256 加密的数据 我的问题是:我在Java中加密的东西,我可以在Java中完全解密,但PHP不能解密。我用加密的内容可以使用 解密,但不能在 Java 中解密。 我想从Java应用程序发送和接收加密数据到PHP页面,所以我
-
-
Quercus是Java环境中PHP的可行替代品吗? 对于任何偶然发现这个问题的人,他们不知道是什么 - 它是用Java完成的PHP的实现。 对于我目前正在从事的项目,我们通过cgi在servlet上提供php页面(我知道它很笨拙,但这是支持遗留代码的要求
标签