我在000 webhost网站创建了一个视频嵌入页面,然后将嵌入到我运行在Blogger上的其他网站中。我不希望任何人直接访问000 webhost视频页面或嵌入到除了我的Blogger网站之外的其他网站中。我知道在内容安全策略、x-frame-options、. htaccess的帮助下这是可能的。但所有这些都有限制,比如有些无法在Chrome和Firefox中工作。有些需要服务器端配置等。
这是内容安全策略,例如-
X-Frame-Options: Allow-From http://example.com
那么这种情况有没有突破呢?
尝试使用.htaccess
order deny,allow
deny from all
allow from mysite.com
内容安全策略
Content-Security-Policy: frame-ancestors 'self' http://example.com
编辑:尝试了一个JavaScript代码,但没有按预期工作。当直接访问000 webhost视频页面时,它将重定向到博客页面,但当在帧中时,它不会重定向
<script>
if (top.location.host != "https://example.com") {
window.location.href='https://example.com/bloggerdomain';
}
</script>
1条答案
按热度按时间blpfk2vs1#
X-Frame-Options中的ALLOW-FROM选项支持有限,现在IE消失了,几乎不再支持它。
内容安全策略:frame-ancestors如果你用. htaccess把它放在一个响应头中应该可以工作。它在一个meta标签中不能工作。