Javascript 如何防止访问用于嵌入的web应用程序？

我有一个web应用程序

http://embed.myapp.com

，它将被嵌入到一些被列入白名单的网站上。帧访问由

X-frame-Options-ALLOW-FROM

但是，我不希望用户通过直接在web浏览器中输入上面的链接来访问它

阻止普通（非嵌入式）访问的最佳方式是什么

---

我可以确定该站点是否嵌入了javascript，但此时已经创建了一个会话，并且可以看到某些敏感信息，如CSRF令牌。

您可能没有绝对可靠的方法阻止用户直接查看内容

---

捕获大多数情况的一个简单方法是查看服务器端的referer标头（第14.36节），仅当内容从正确的页面引用时才提供内容。

用户/浏览器禁用referer标头是否常见？如果请求传入时没有referer标头，我如何知道标头是否只是被禁用，或者用户是否正试图直接查看内容？浏览器流量中禁用referer标头并不常见，但用户肯定可以使用curl绕过此措施。无论如何它都不是万无一失的，但它可以阻止大量不必要的流量。编辑：请记住，任何人都可以使用chrome开发工具查看代码，这样您就不能真正停止对它的访问。