我在我的网站内创建了一个“嵌入代码”,它只是一个iframe 我会给这个代码嵌入某些用户,但不知道该怎么做。用户可以从授权的站点检查html代码并获得未经许可的代码。 我该如何让我的网站只有授权用户? 我曾考虑购买$ _SERVER ['HTTP_REFERER'],但只要您点击指向内部框架的链接,引用者就会丢失。Iframe显示授权用户
-1
A
回答
0
您无法真正避免授权人员检查内联框架的URL并将其显示给未经授权的人员。正确的做法是向未经授权的用户提供空白/错误页面。
您可以通过在用户登录时创建会话并在源代码中验证内联框架中显示的页面的会话来实现该目的。
不要依赖引用链接,它很容易被欺骗,一些浏览器甚至不会设置它。会话cookie不是可伪造的,除非用户知道用于创建它的凭证,这使得它们得到了授权,无论它们是否经过身份验证。
0
用js验证用户。
<iframe src="verify.php">...
Verify.php包含:
<?php
session_start();
$id= generate sth random;
$_SESSION["id"]=$id;
?>
<script>
window.location="http:yourdomain/site.php?id=<?php echo $id;?>&referrer="+document.referrer;
</script>
Loading...
现在你可以检查引用,以验证该网站是否正确和id来检查,如果没有人试图欺骗你...
<?php
session_start();
if($_SESSION["id"]!=$_GET["id"] or $$_GET["referrer"]!="allowedsite.com"){
echo "not valid";
die();
}
?>
正如ThomasHübelbauer指出的那样,人们仍然可以复制您的代码。你唯一能做的就是混淆和相对链接的使用。这使得很难复制。
相关问题
- 1. PowerShell用户授权
- 2. Swift用户授权
- 3. Rails用户授权
- 4. has_secure_password用户授权
- 5. Django用户授权
- 6. rails_admin用户授权
- 7. 应用列表显示401未授权
- 8. Facebook Canvas iFrame App - 使用新的OAuth协议授权用户
- 9. Alert Box要求用户授予位置权限不显示
- 10. Spring Security的显示404,如果用户没有授权
- 11. SHOW GRANTS显示没有为用户定义的此类授权
- 12. MySQL 5.6向用户显示所有授权
- 13. 授予用户授予其他用户的授权
- 14. 非授权iframe中的Facebook授权无需重定向
- 15. 当用户登录时授予授权
- 16. 授权非Django的用户
- 17. 授予用户访问权
- 18. Oracle - 授予用户权限
- 19. Mercurial网络用户授权
- 20. 用户授权与MDB
- 21. 用户被授权登录
- 22. 用户授权与Facebook
- 23. 用户角色和授权
- 24. 配置ldap授权用户
- 25. 防止未授权用户
- 26. MySql授予用户权限
- 27. 授权自记录用户
- 28. 用户授权失败:(null)
- 29. PostgreSQL用户组和授权
- 30. CanCan的用户授权:NoMethodError
这真的取决于你想怎么做。你可以有一个登录。您可以使用测试数据库的链接。你可以得到一个测试MAC地址的软件,并在其上有php'exec()'。这听起来像你正在寻找意见。你的代码在哪里? – PHPglue