Asegurar que una página en iFrame no se use afuera

1

En un área segura de un sitio asociado, nos gustaría incrustar un iFrame. El socio generará un hash (accessToken) que formará parte del src de iFrame, por ejemplo. <iframe src="our-domain.com?hash={accessToken}" /> .

De esta manera, el socio tendrá acceso a nuestra área de administración. Nos gustaría asegurar que los datos confidenciales se abran solo desde el sitio asociado.

Mis ideas para evitar que nuestra página esté abierta fuera del iframe:

  • X-FRAME-OPTIONS - pero parece inútil, ya que puede abrir el enlace en el navegador no compatible o en una nueva página, consulte esta respuesta
  • Marque el hash como se usa : tan pronto como se llame a GET en our-domain.com?hash={accessToken} , marcaremos el accessToken como se usa para que no sean posibles los GET posteriores. ¿Pero no es posible evitar que iFrame se cargue y robar el uri?

¿Qué otras opciones podríamos usar? ¿O ya está suficientemente asegurado?

    
pregunta zatziky 11.03.2017 - 22:12
fuente

0 respuestas

Lea otras preguntas en las etiquetas