Как сделать доступ к функцоналу для определенных сайтов?

Question

[WebDev]

Есть некий виджет с новостями о криптовалютах. Это айфрейм, который все желающие могут поставить на свой сайт. Предусматривается платный виджет с расширенным контентом. Каким образом можно это сделать? Например, чтобы iframe с определенных сайтов показывал доволнительный контент.
Меня интересует подход, как в таких случаях делают. На сколько я понимаю, из айфрейма нельзя узнать на каком сайте он установлен.
Подскажите, пожалуйста, направление.

Comments

[Павел Корнилов]

Честно говоря, вопрос не совсем понятен.

На сколько я понимаю, из айфрейма нельзя узнать на каком сайте он установлен

Конечно можно.

Если я верно понял, и нужно проверять, показывать на сайте контент или нет, тогда нужно выдавать сайту специальные токены, а потом проверять их валидность перед выдачей контента.

[WebDev]

KorniloFF, Ну вот я выдаю пользователю код, например,

<iframe src="www.site.com/?action=get_widget&key=qere3idj34"></iframe>

И у себя регистрирую, что код qere3idj34 для конкретного сайта. Но теперь мне нужно получать хост сайта, на котором стоит айфрейм. Как это сделать? Изнутри айфрейма доступа к родительскому сайту я способа не нашел.

[Павел Корнилов]

WebDev, Нужно чтобы сайт сам отдавал этот токен. То есть, чтобы код в ифрейме проверял, тот ли этот сайт, и только тогда уже формировал внутренний контент. Например, в примитиве, можно обращаться тупо к PHP с
echo 'qere3idj34 ';
Таким образом, это не будет видно клиенту, а если ктото скопирует SRC ифрейма, контента внутри его не получит, потому что не пройдет проверку.

[WebDev]

KorniloFF,

чтобы код в ифрейме проверял, тот ли этот сайт,

Так а как это сделать то? Ведь внутри айфрейма я не знаю на каком он сайте находится?

[Павел Корнилов]

Например, CURLом. Не могу понять, что именно разъяснить?
Алгоритм:
1. Посылается запрос сайту-реципиенту на его "секретный" файл, который должен вернуть токен
2. Проверяется токен, сравнивается с базой
3. Выдаётся контент ифрейма.

Как вариант, можно из самого ифрейма через window.top яваскриптом узнать домен и сравнить со списком разрешённых.

Answer 1

[Victor Golovko]

Вы можете использовать хэш, чтобы понимать кто у вас запрашивает данные.

<iframe src="www.site.com/?action=get_widget&key=qere3idj34"></iframe>

При покупке расширенного функционала генерировать уникальный хэш, для сайта на котором будет размещаться виджет.

По key из базы узнать кому он принадлежит и получить права, которые принадлежат аккаунту.
Если ключа нет, то это общий доступ.

Comments

[WebDev]

да, но если этот код скопируют и вставят на другой сайт, как я смогу ему запретить доступ? То есть мне помимо токена нужно получать хост, на котором расположен фрейм, но я не нашел способа его получить.

[Victor Golovko]

А вы даете код фрейма или js-ом генерируете его?

[WebDev]

Victor Golovko, и так и так пробую. С js пробовал так: даю жс код, который содержит хэш, код отправляет данные на сервер, там проверяю откуда пришли и хэш и в случае успеха на сайт пользователя подгружается айфрейм. Но теперь я открываю исходный код страницы и копирую итоговый айфрем, и у меня работает.
Как тут еще можно сделать?

[Victor Golovko]

Может попробовать так:
Скрипт инициализации, который даете клиенту, подключает js скрипт вашего сервера для создания iframe и в нем уже есть токен.
Iframe инициализируется с данным токеном +передаете домен, который вызвал. Больше токен не действителен.

Т.е. зарание система не знает, какой токен будет выдан.

[Victor Golovko]

если схематично:
код, который вы дали клиенту. подключает js файл с вашего сервера->js код c сервера содержит токен->этот код создает iframe, в урле которого передается host + токен-> Сервер проверят есть ли такой токен в базе, + хост, который передали (либо определили сервером). И тут же токен гасится.

используйте самовызывающуюся функцию, чтобы не было доступа к переменным из вне.

Пример скрипта, который сервер возвращает

(function() {
  var token = 123412341234; // приватная переменная
  var host =  location.protocol + '//' + location.hostname
   // создаем iframe
  createIframe(host, token);
}());

[WebDev]

Victor Golovko, отличная идея. Спасибо!

Answer 2

[Константин Китманов]

iframe по идее посылает http-заголовок Referer с адресом загрузившей его страницы (за исключением когда родительская страница отдается по https, а iframe по http). Можно проверять это из JS через document.referrer, но надежнее все-таки на сервере.