¿Cómo proteger el sitio web móvil para que no se encapsule en aplicaciones móviles nativas no autorizadas?

Un usuario no puede confiar en una página web que está dentro de una aplicación en la que no confía .

Por lo tanto, si hubo un ataque de reparación de la interfaz de usuario contra su sitio web al usar una aplicación en particular, esto sería culpa del usuario por confiar en la aplicación.

Además, si un desarrollador de aplicaciones quisiera que los usuarios hicieran clic en algo en su sitio usando el teléfono, simplemente lo codificarían en su aplicación. No necesitarían que el usuario lo hiciera. Los navegadores dentro de las aplicaciones utilizan un conjunto diferente de cookies que el navegador del teléfono, por lo que esto no afectaría a ninguna de las sesiones existentes del usuario. Habrían tenido que iniciar sesión en su sitio en la ventana del navegador de la aplicación, y en ese punto, una aplicación fraudulenta podría simplemente haber cosechado las credenciales de todos modos.

Correcto, la configuración de X-Frame-Options es una buena idea, pero confía en que el navegador lo aplique. No puedes defenderte contra un navegador que no sea de confianza.

Lo que te queda es vigilar las tiendas de aplicaciones para aplicaciones que pretenden ser tú.