Отказ в доступе к странице, если только через фрейм

Question

У меня есть несколько важных страниц оформления заказа, которые обслуживаются через iframe на защищенной странице.Тем не менее, он прекрасно работает (если бы он знал URL), и пользователь мог бы получить прямой доступ к странице.Есть ли способ проверить, обслуживается ли страница через iFrame, и запретить прямой доступ?

Answer 1

Нет.Даже если бы это было так, это было бы легко подделать (не сложно создать пустую HTML-страницу с одним фреймом).Я бы посоветовал вам пересмотреть свою стратегию безопасности.Например, вы можете использовать уникальный URL-адрес для ссылки на вашу страницу, который будет создан родительской страницей, например.

<iframe src="http://secret.com/checkout_page.php?id=9865786&hash=hkdjlvhb3k4h5t98fgh34kh" />

На странице проверки вы должны будете проверить, что идентификатор уникален и никогда не использовался ранеехеш соответствует этому идентификатору.Для хэша вы можете использовать md5 с солью (md5 (id. $ Salt)).Это было бы вполне безопасно (если $ salt сохранял безопасность).