Iframe 嵌入页面的不同方法

我们为客户提供第三方网站。当我们处理RFP时，经常会被问到是否可以将我们的网站嵌入到我们客户的网站中。我们的许多潜在客户都有不寻常的限制或要求，例如“不要使用iFrame”

为此，我被要求确保我们即将重新设计的网站能够以至少两种方式嵌入客户的网站

在另一个网站中嵌入完整功能的网站（与跨网站图像或静态内容相对）的方法如下：

-大量使用，经常被诽谤，我们的一些 以前的RFP明确排除了这一可能性

-追溯到很久以前，可以嵌入 将功能完整的HTML页面嵌入到另一个页面中的方式与嵌入的方式相同 闪光物体

-假设能够装载一个完整的 站点转换为HTML对象（例如

div

标记），但由于跨域请求的危险，似乎还有额外的安全问题需要解决

是否有其他方法将完整站点放置在来自不同域的另一个站点中？对于以上三种策略中的任何一种（例如，我们的站点使用AJAX调用进行登录和更新一些用户定义的设置，这些设置在上述每个嵌入策略中是否都能正常工作？）是否有我可能不知道的警告或限制

提前感谢。

X-Frame-Options

响应标题 如果您要将您的站点嵌入到其他人的站点，则必须小心此问题。确保您的站点没有将

SAMEORIGIN

作为

X-Frame-Options

的值发送。如果你这样做，它会给你带来麻烦。你可以做两件事：

您绝对不会发送标题：任何站点都可以在iframe中显示您的站点或作为嵌入对象显示您的站点。这可能会导致安全问题，例如。有关点击劫持的更多信息和防御措施，请参阅

您可以确保只有您授权的站点才能嵌入您的站点：这是通过发送

X-Frame-Options

标题的

ALLOW-FROM-url

值来完成的。您可以嗅探以确定哪个站点正在请求您的页面。这比选项1更安全（当然，除非用户的浏览器是恶意的）。注意：并非所有浏览器都支持

ALLOW\u FROM

。有关支持的浏览器，请参阅

同一原产地政策 只要您的站点和您的客户端站点彼此不访问DOM，就不会影响您

科尔斯 如果客户端网站的脚本向站点中的资源发出AJAX请求（

XmlHttpRequest

），则应考虑此问题。但就你的问题而言，我认为情况并非如此

，如果你想对CORS有一个基本的了解，你可以阅读它

第三方网站的插件 看起来您正试图在客户端站点中嵌入一些功能。考虑提供类似的站点插件。p> 我不确定是否适用同一原产地政策或CORS。我会找到答案，然后再给你回复

注意：

X-Frame-Options

、同源策略和CORS由浏览器实现。如果用户浏览器没有实现这些功能，或者浏览器被黑客攻击而不遵守这些安全策略，那么您将无能为力