Задать вопрос
@newaitix
javascript

Как узнать откуда был загружен iframe?

Есть код iframe
<!DOCTYPE html>
<html lang="en">
<head>
	<script>if(window==window.top)window.stop();</script>
	<meta charset="UTF-8">
	<title>Document</title>
</head>
<body>
	текст
</body>
</html>

Предполагается что он будит встраиваться в качестве iframe на страницы.
Но нужно ограничить возможность встраивания.
Запретить всем ресурсам встраивать iframe
А facebook.com и google.com разрешить встраивать этот iframe
if(window.top.document.location.href=!'google.com') // не работает
  • Вопрос задан
  • 1374 просмотра
Комментировать
Подписаться 3 Простой Комментировать
Решения вопроса 1
@granty
Откуда был загружен iframe никак не узнать (узнать-то можно, но в вашем случае это не поможет).

1. яваскрипт не сработает, тк политика «Одинакового источника» (Same Origin Policy) запрещает доступ из ифрейма к window.top.location.href, если они имеют разные происхождения (грубо говоря - разные домены).
Проверить window.top != window.self браузер даёт, а доступ к фактическому url из window.top - нет.

2. на сервере проверять переменную $_SERVER['HTTP_REFERER'] (кто запросил загрузку страницы) смысла тоже нет - если у ифрейма установлен атрибут referrerpolicy:
<iframe referrerpolicy='no-referrer'>
реферер не будет прислан (будет, но только в IE/Edge и Safari_IOS).


Но сделать то, что вы хотите - можно легко. На странице надо издать HTTP-заголовок CSP с директивой frame-ancestors:
header( "Content-Security-Policy: frame-ancestors https://ваш_сайт.ru http://ваш_сайт.ru https://www.facebook.com https://facebook.com https://www.google.com https://google.com;" );

это разрешит открывать эту страницу в ифрейме с собственного домена ваш_сайт.ru(без поддоменов!) по http:/https:.
И сайтам facebook.com и google.com с www или без (но только если фэйсбук/гугль загружены по https: - а их и невозможно загрузить по http:).

PS: если ваш сайт доступен и по www - добавьте в "волшебную" строку:
https://www.ваш_сайт.ru http://www.ваш_сайт.ru
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 2
solotony
@solotony
покоряю пик Балмера
document.referrer
Ответ написан
Комментировать
Комментировать
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Это делается ни в клиентском js, а в проверке заголовка REFERRER на стороне сервера.
Например, $_SERVER["DOCUMENT_REFERRER"] в PHP.
Или правилами mod_rewrite в apache.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
JavaScript разработчик
SummerWeb Ярославль
от 100 000 до 140 000 ₽
JavaScript разработчик
вАйТи
от 5 000 до 25 000 ₽
JavaScript Developer (backend / fullstack)
Brightdata Тель-Авив
от 5 500 до 6 500 $
Ещё вакансии
Заказы с Хабр Фриланса
Доработать обмен заказами 1с
11 мая 2024, в 00:19
1000 руб./за проект
Разработка сайта (верстка)
10 мая 2024, в 23:51
30000 руб./за проект
Опубликовать приложение в Google play
10 мая 2024, в 23:33
2500 руб./за проект
Ещё заказы