Schutz iFrame - Nur damit es auf der Arbeit in einer Domäne

Ich habe ein Widget, welches ich erstellt und ich bin einbetten auf anderen Webseiten mit einem iFrame. Was ich tun möchte, ist sicherzustellen, dass niemand kann den Quellcode anschauen und kopieren Sie die iFrame-code und setzen Sie ihn auf Ihrer eigenen website.

Kann ich das speichern der URL, dass es erlaubt sein sollte auf in der Datenbank. Ich habe es getan, bevor, eine Seite hatte eine lange verschlüsselte code und wenn es nicht übereinstimmt mit der domain dann sagte Zugriff Verweigert..

Weiß jemand, wie ich dies tun kann?

Dank!

Viele Schattierungen absolut unmöglich.
+1 @Rook. Nahm ein Gespräch mit Mech Software für mich zu denken, es richtig durch aber, natürlich, du hast absolut Recht. 🙂

InformationsquelleAutor Drew | 2011-11-17

  1. 12

    Nein, Sie können das nicht tun. Die beste Sache, die Sie tun können, ist die folgende:

    if (window.top.location.host != "hostname") {
    document.body.innerHTML = "Access Denied";
}

    Fügen Sie die oben, um Ihre JavaScript und verwenden Sie dann eine Wenn javascript obfuscator

    Ich korrigierte Ihre DOM-Referenz zu window.top.location.host - die verweisen auf die Gastgeber der top-Rahmen (der Ort, der versucht, das widget einbinden) und nicht window.location.host welche den host, dient das widget.
    ohh danke, ich habe vergessen, dass
    Wenn ich meinen code ein und schauen Sie auf die Website, die es eingebettet ist in Firebug bekomme ich dies: "Permission denied to access property 'host'"
    nur prüfen-Fenster.top.Lage, dann
    würde dies nicht funktionieren, in einem cross-domain-Website. Es gibt Permission denied to access property host in firebug

    InformationsquelleAutor noob

  2. 8

    Können Sie nicht verhindern, dass Menschen aus der Suche in den HTML-Code, aber es gibt einige Header können mit dem Sie festlegen können, welche Websites einbetten können Ihre iframe. Werfen Sie einen Blick auf die X-Frame-Options header und die frame-Vorfahren Richtlinie des Content-Security-Policy. Browser, die Achtung, es wird sich weigern, zu laden des iFrames, wenn eingebettet in der Website einer anderen Person.

    InformationsquelleAutor weiyin

  3. 5

    Auf dem server in den code für die Seite im IFRAME angezeigt wird, überprüfen Sie den Wert des Referer header. Es sei denn, dieser header wurde gesperrt aus Gründen des Datenschutzes enthält die URL der Seite, auf welche hosts der IFRAME.

    referrer kann leicht gefälscht werden. Verlassen Sie sich nie auf ihn (oder jede andere HTTP-header)
    Natürlich kann man es, aber einige beliebige client-browser-NICHT-spoofing. Er ist nicht zu Fragen, um zu verhindern, dass Menschen von der Betrachtung seiner Quelle, er will nur verhindern, dass Menschen setzen den Rahmen auf Ihrer eigenen Website.

    InformationsquelleAutor Dark Falcon

  4. 2

    Was Sie fordert, ist so ziemlich unmöglich. Wenn Sie die Quelle im Internet verfügbar jemand kopieren können Sie die eine oder andere Weise. Irgendwelche javascript-tricks besiegt werden können durch die Verwendung von low-level-tools wie wget oder curl.

    Also selbst wenn Sie schützen, du bist noch zu finden, dass jemand könnte in der Theorie kopieren Sie den code (wie den browser erhalten würden) und könnte, wenn so bestimmt, legen Sie es auf Ihrer eigenen website.

    Es wird unmöglich zu stoppen jemand ansehen, wie das widget eingebettet ist, aber nicht unmöglich aufhören, Ihre widget korrekt funktioniert, wenn es bestimmen kann, es wurde iframed in irgendwo, das es nicht sein wollen.
    Ich bin damit einverstanden, können Sie machen es unbrauchbar, aber diese Art von Lösung wird nicht funktionieren, für die bestimmt. Diese Codezeile könnte leicht ausgeführt werden durch eine PHP-Datei mit file_get_contents und habe die Zeile ersetzt, die mit einem statischen Wert zu besiegen, ihn völlig.
    Ein sehr guter Punkt; Du hast absolut Recht. Wenn das widget stützte sich auf die Kommunikation zurück zum Mutterschiff zu funktionieren, dann könnte wiederhergestellt werden. Setzen Sie einige der wichtigsten Funktionen auf Ihrem server und rufen Sie es mit XHR, die müssen Sie bestätigen, um die same-Origin-Policy und damit nicht, wenn sich jemand verändert und republishes der JS-code.
    Genau. Dies kann jedoch gelöst werden, indem nicht die Einbettung in den iframe. Habe den js-code selbst erstellen der iframe auf der Seite, so dass Art und Weise der Ursprung ist immer richtig. Gewährt, dieser kann immer noch gefälscht werden, aber weit schwieriger zu benutzen.
    Ich denke, es hängt stark von den widgets. Wenn es ein einfaches widget, das Sie denken würden, dass keine Sicherheit erforderlich wäre, zu löschen.

    InformationsquelleAutor Mech Software

  5. 1

    Ich Stand vor dem gleichen problem, aber ich habe den Benutzer auf einer Homepage. Ich breitete die Entscheidung.

    Es dort platziert werden, wo es iframe

    <script>
        $(window).load(function () {
            var timetoEnd = '';   
            var dstHost   = 'YOUR-ALLOW-HOST';
            var backToUrl = 'BACK-TO-URL';

            function checkHost(){
                var win = window.frames.YOUR-IFRAME-NAME;
                win.postMessage('checkHost', dstHost);
                    console.log('msg Sended');
                    clearInterval(timetoEnd);
                    timetoEnd = setInterval(function () {
                        window.location.href = backToUrl;
                    }, 5000);
                }

                function validHost(event) {
                    if (event.data == 'checkHostTrue') {
                        clearInterval(timetoEnd);
                        console.log('checkHostTrue');
                    } else {
                        return;
                    }
                }

                window.addEventListener("message", validHost, false);
                checkHost();

                setInterval(function () {
                    checkHost();
                }, 10000
                );
            });
    </script>

    Muss es sein, sich in Ihrem iframe src

    <script>
            function receiveMessage(event)
            {
                if(event.data=='checkHost'){
                    event.source.postMessage("checkHostTrue",
                           event.origin);
                } else {
                    return;
                }
            }
            window.addEventListener("message", receiveMessage, false);
</script>

    InformationsquelleAutor Sergey

Schreibe einen Kommentar