Как ограничить отображение iframe только с внешнего сайта на определенные домены

Я управляю службой, где клиентский контент готов и отображается в iframe. Затем клиент копирует рудиментарный тег iframe html и вставляет его в свою веб-страницу. Некоторые клиенты жалуются, что другие сайты копируют тэг iframe и вставляют его на свои сайты.

Можно ли ограничить отображение содержимого iframe определенным доменом или доменами? Возможно, программно говоря iframe, что его родитель должен быть some-domain.com или иначе не отображаться.

Это имеет смысл? Иногда я могу быть слишком многословным.

ОТВЕТЫ

Ответ 1

вы можете использовать .htaccess(предполагая, что исходное содержимое находится на сервере Apache), чтобы ограничить доступ к определенному IP-адресу.

Или, если страница является PHP, вы можете ограничить ее определенным доменом, например:

    <?php
$continue = 0;
if(isset($_SERVER['HTTP_REFERER'])) {

    //correct domain:
    $ar=parse_url($_SERVER['HTTP_REFERER']);
    if( strpos($ar['host'], 'yourdomain.com') === false ){
    } else {
        $continue = 1;
    }

}

if($continue == 0){
    header('HTTP/1.0 403 Forbidden');
    exit('Forbidden');
}

?>

Ответ 2

Похоже на проверку, которая лучше сделана на стороне сервера - вы можете проверить разметку iFrame на список допустимых имен доменов (или родительских доменных имен) и отклонить ее, если они недействительны.

Вы можете сделать все вышеперечисленное в javascript, прежде чем вводить iFrame на страницу, но если javascript выключен, ваша проверка не будет работать, не говоря уже о том, что с инструментами разработки на клиенте можно изменить любой javascript.