すべての主要なブラウザと同期化されたトークンパターンと同じオリジンポリシーを除いて(すべての要求をトークン化するのは難しいでしょう)、リクエストが私のユーザーインターフェイスではなく、第三者を通じて提供されます。httpリクエストへの応答を制御するには? (サーバー側とクライアント側)
たとえば、iframeからyoutubeにリクエストを送信すると(つまり、src = ... not xmlhttprequestオブジェクトを意味する)、応答は空白のページになります(リクエストはどのように送信されますか)。 iframeからfacebook ajax.hovercard(コンテンツ取得リクエスト)を受け取ると、アドレスバーから空白のページ(コンテンツなし)が表示されます。 SO応答は、iframe要求からの通常のコンテンツです。
私の前に言ったように、要求は信頼できるソースから来ているかどうかをチェックします(いくつかのサーバー側のコードが望ましい)。
P.S. :ヘッダー、idkに頼らないでください。なぜ起源がリクエストから受信しないのですか。また、すべての主要なブラウザで原点ヘッダーが実装されています。登録者は、一部のスパイウェアプログラムによって変更することができます。とにかくヘッダーは本当に信頼できるものではありません。しかし、そのようなshowldはチェックのための層であることは確かです。
サードパーティを定義してください。 ISPもサードパーティーではないのですか?私はあなたがそれを所有していないことを意味します、そうですか? – hakre
@hakre私はそれが明らかにこの問題は、クロスドメインのリクエストに関するものだと思っています。 –