iframe 経由で test1.php に読み込まれる test2.php というページがあります。
test2.php が test1.php 経由でのみアクセスされるように、ホワイトリストを実装したいと思います。親ページの URL (test1.php) が子 iframe ページ (test2.php) の HTTP_REFERER として渡されていることに気付きました。
これは、IE7/8/9 と、私が使用している Chrome と FF のバージョンにも当てはまります。
では、この場合、実際のセキュリティは要因ではないため、HTTP_REFERER フィールドをテストして親ページの ID を確認することは信頼できるでしょうか? このヘッダーを iframe に設定しないブラウザーはありますか、それとも考慮していないエッジ ケースはありますか?
ヘッダーのスプーフィングは些細なことなので、これはハッキング防止ではないことを認識していますが、セキュリティは問題ではありません。test2.php が埋め込まれているページを (多かれ少なかれ) 制御したいだけです。
お時間をいただきありがとうございます。