¿Cómo puedo restringir mi iFrame para usar solo contenido local (es decir, no de otros sitios web)? Mi pregunta es la inversa de la pregunta como la forma de restringir el uso de mi sitio en un iframe en otros sitios.
Estoy usando Tomcat / Java / JSP.
Puede establecer una Content-Security-Policy encabezado con la directiva child-src .
Por ejemplo, esto solo permitirá contenido de cuadros desde el mismo dominio:
Content-Security-Policy: child-src 'self'
En lugar de 'self' , también puede especificar un origen particular.
Aquí es una simple demostración (la etiqueta meta se usa para simular el encabezado). Solo debe cargarse el primer cuadro:
<meta http-equiv="Content-Security-Policy" content="child-src http://example.com/">
<iframe src="http://example.com/"></iframe><iframesrc="http://example.org/"></iframe>
Tenga en cuenta que esto funciona en Firefox y Chrome pero no es compatible con IE / Edge .
Lea otras preguntas en las etiquetas web-application iframe