iFrame内からのみ閲覧できるようにウェブページを保護するにはどのような方法がありますか？

Question

このスレッドは2008年に作成されましたRestricting IFRAME access in PHP

私はほぼ同じことをやっています。つまり、特定のアプリから、特定のiFrameから閲覧されている限り、一般公開されているサイトが必要です。 IFrameアプリには、コアアプリケーション以外のURLへのアクセスをユーザーに許可する権限が与えられます。 URLはすべてオープンソースのPHPツールを使用して構築される可能性があります。ワードプレス。

閲覧iFrameと表示されているサイト/ページの両方がGoogleによって所有されます。

これを行う方法については、ここ数年で何か変わったことはありますか？

この特定の問題に関係しないさまざまな理由から、iFrameビューアを含むアプリケーションを構築するためにサーバサイドのRIAフレームワークVaadin（JAVA）を使用することを検討しています。

埋め込みウィジェットのデモはこちらhttp://demo.vaadin.com/sampler#WebEmbedページソースを見ると、埋め込まれたウェブページのアドレスが表示されるところはありません。だから、検索エンジンから私のURLを隠すことができるかどうか、ある程度、私は非常に長く、無作為に生成されたURIを与え、とにかく見つけることは不可能だろうか？

Answer 1

framekillerを修正して、その逆を行うことができるはずです。フレームキラーは、ページがiframe内にロードされているかどうかを検出することによってクリックジャックを防止するためのJavaScriptの一種です。

iframeを特定のページ内に読み込むように制限することは、より困難です。リファラーを見ることは簡単ですが、バイパスも簡単です。 httpsページからiframeを読み込むと、リファラーは空白になります。より良い方法は、サーバにNonceを取得させ、これをiframe urlに含めることです。 http://iframe_url?key=difhj8j84528423j423894hfdj897などです。サーバーをサーバーに要求させるのが理想的です。 nonceを取得するためにクライアント側のコードとjsonpを使って行うのは、攻撃者がnonceを取得するために修正されたjavascriptを提供できるため、問題があります。