可信网站列表中的iframes

Question

我对他们的安全缺陷很陌生。我有网站A，需要嵌入在一个iframe的网站列表。这是有趣的部分。

• 受信任的网站列表和iframe共享相同的域。
• 只有受信任的网站列表才能成为A
• 如果不受信任的网站尝试如果A，则应该呈现一些错误。

我知道有些地方用某种标记化系统来做这件事。有人知道或有好的参考资料来做这件事吗？

Answer 1

嗯，你不能阻止人们框架你的网站，因为你不控制他们的代码。

但是，你可以：

• 使用框架破坏器将站点关闭到顶层(从iframe退出并进入主窗口)。
• 检查父窗口url (站点框架的网址)。它只有在相同的域名下才能工作，这意味着如果另一个域名正在影响你，你就无法获得父网址(“啊哈！有人在给你的网站设置框架！”)。如果你能得到网址，顶部的网站是从您的域名。在此之后，您需要做的唯一一件事就是检查该站点是否是您域中受信任站点的一部分。