私のウェブサイトが iframe に含まれているサイトが少なくとも 1 つあることに気付きました。この種の動作を禁止する最善の方法に興味があります。
ブロックしたいサイトのリストを生成できるように、サイトが私のフレームを構成している場合に拾うことができる Javascript をいくつか含めました。ただし、iframe を禁止したくないサイトもあります。
IIS (7) を介してサイトのリストを確認し、そのリスト内のサイトからリクエストが送信された場合、何らかの形で失敗するか、リクエストをブロックすることはできますか?
ありがとう!
X-Frame-Options: denyHTTP ヘッダーを使用して、だれもが<iframe>あなたのサイトを ing できないようにします。<iframe>自分のサイトにアクセスできるようにしたいが、他のユーザーがアクセスできないようにする場合は、 を使用して
X-Frame-Options: sameoriginください。
X-Frame-OptionsMDN でさらに読んでください。
補足: 通常、ブラックリストはセキュリティ上機能しません。ホワイトリストは正しいアプローチです。
Allow-From は 1 つの URI のみを許可します。つまり、Facebook URI を使用すると画像アップローダーが強制終了され、Sameorigin を使用すると画像アップローダー (および自分の iframe のいずれか) は機能しますが、強制終了されます。フェイスブック。Allow-From と Sameorigin の両方が強制されるような組み合わせがあるかどうか知っていますか?
今の仕様では無理です。ただし、2 つの異なる URL を使用して同じコンテンツを提供することもできます。1 つは Facebook の iframe 用 ( send allow-from) で、もう 1 つは独自の iframe 用( send sameorigin) です。素晴らしいことではありませんが、ないよりはましです。