Iframe 嵌入页面的不同方法
我们为客户提供第三方网站。当我们处理RFP时,经常会被问到是否可以将我们的网站嵌入到我们客户的网站中。我们的许多潜在客户都有不寻常的限制或要求,例如“不要使用iFrame” 为此,我被要求确保我们即将重新设计的网站能够以至少两种方式嵌入客户的网站 在另一个网站中嵌入完整功能的网站(与跨网站图像或静态内容相对)的方法如下:Iframe 嵌入页面的不同方法,iframe,cross-domain,embed,embedding,Iframe,Cross Domain,Embed,Embedding,我们为客户提供第三方网站。当我们处理RFP时,经常会被问到是否可以将我们的网站嵌入到我们客户的网站中。我们的许多潜在客户都有不寻常的限制或要求,例如“不要使用iFrame” 为此,我被要求确保我们即将重新设计的网站能够以至少两种方式嵌入客户的网站 在另一个网站中嵌入完整功能的网站(与跨网站图像或静态内容相对)的方法如下: -大量使用,经常被诽谤,我们的一些 以前的RFP明确排除了这一可能性 -追溯到很久以前,可以嵌入 将功能完整的HTML页面嵌入到另一个页面中的方式与嵌入的方式相同 闪光物体 -
div
标记),但由于跨域请求的危险,似乎还有额外的安全问题需要解决X-Frame-Options
响应标题
如果您要将您的站点嵌入到其他人的站点,则必须小心此问题。确保您的站点没有将SAMEORIGIN
作为X-Frame-Options
的值发送。如果你这样做,它会给你带来麻烦。你可以做两件事:
X-Frame-Options
标题的ALLOW-FROM-url
值来完成的。您可以嗅探以确定哪个站点正在请求您的页面。这比选项1更安全(当然,除非用户的浏览器是恶意的)。注意:并非所有浏览器都支持ALLOW\u FROM
。有关支持的浏览器,请参阅XmlHttpRequest
),则应考虑此问题。但就你的问题而言,我认为情况并非如此
,如果你想对CORS有一个基本的了解,你可以阅读它
第三方网站的插件
看起来您正试图在客户端站点中嵌入一些功能。考虑提供类似的站点插件。p>
我不确定是否适用同一原产地政策或CORS。我会找到答案,然后再给你回复
注意:X-Frame-Options
、同源策略和CORS由浏览器实现。如果用户浏览器没有实现这些功能,或者浏览器被黑客攻击而不遵守这些安全策略,那么您将无能为力