показывать iframe только для доверенных сайтов

Question

У меня есть код, который генерирует iframe, который пользователь может вставлять на свой сайт.

Я хочу показывать свой iframe только на определенных сайтах. Как я могу это сделать?

Например: Я могу дать уникальный ключ пользователю и использовать этот ключ на стороне сервера. Но другой пользователь может использовать этот ключ.

Есть ли простое решение?

Answer 1

Реферальное решение не является надежным в любом случае. Реферер - это что-то, «сказанное» браузером, его можно вручную переопределить, как сказано выше, более того, любой может просто использовать прокси и реинтегрировать iframe.

Так что, в основном, это зависит от того, сколько кода можно поместить на «Доверенный сервер».

Если можете, используйте одноразовые жетоны. Доверенный сервер получает список токенов с сервера, имеющего iframe. URL-адрес, обслуживаемый доверенным сервером, содержит токен, который будет недействительным при отправке содержимого iframe. Это означает, что для каждого чтения есть «запись». А токены займут немного места.

Answer 2

Вы можете использовать заголовок отклика реферера, как описано в стандарте HTTP.

Хотя опытные пользователи (übergeeks / browsermodders) знают, как это опустить. Вы должны может не делать это по соображениям безопасности.