@ Бруно - я согласен, но я хотел бы отметить, что даже проверки источника - как бы требовательного он ни был - страницы может быть недостаточно для обеспечения безопасности или надлежащего / предполагаемого места назначения, поскольку это часто первоначально обслуживаемый исходный текст. Если я серьезно не ошибаюсь, это можно легко изменить с помощью встроенного или даже внестраничного кода JavaScript (который сам может быть запутан, если кто-то действительно хочет сделать его почти невозможным для поиска). Тем не менее, ЕСЛИ пользователь имеет соответствующий браузер, Я думаю , что они могут быть в состоянии - , если они подозрительны, начиная с - проверить источник iframe, чтобы определить источник этого кода, а затем определить, доверяют ли они источнику ... не совсем разумное ожидание.
Хотя все это можно было бы определить с помощью соответствующих отладчиков и / или программных / DOM-инспекторов и хорошей помощи цифровой смазки для локтей, OP не может разумно ожидать, что все это сделают (если кто-нибудь вообще)