En un área segura de un sitio asociado, nos gustaría incrustar un iFrame. El socio generará un hash (accessToken) que formará parte del src de iFrame, por ejemplo. <iframe src="our-domain.com?hash={accessToken}" />
.
De esta manera, el socio tendrá acceso a nuestra área de administración. Nos gustaría asegurar que los datos confidenciales se abran solo desde el sitio asociado.
Mis ideas para evitar que nuestra página esté abierta fuera del iframe:
- X-FRAME-OPTIONS - pero parece inútil, ya que puede abrir el enlace en el navegador no compatible o en una nueva página, consulte esta respuesta
-
Marque el hash como se usa : tan pronto como se llame a GET en
our-domain.com?hash={accessToken}
, marcaremos elaccessToken
como se usa para que no sean posibles los GET posteriores. ¿Pero no es posible evitar que iFrame se cargue y robar el uri?
¿Qué otras opciones podríamos usar? ¿O ya está suficientemente asegurado?