Security 嵌入式IFrame域限制

我有一个IFrame，它将嵌入到我的客户网站上。理想情况下，我希望将iframe限制在它们的域中。我已经实现了内容安全策略“Content Security Policy frame example.com”头文件，它似乎可以很好地完成工作，但是对主机文件进行一个简单的更改就可以访问该域

我研究了HTTP Referer等，发现大多数常见的解决方案都很容易绕过，特别是通过更改主机文件

因此，我的问题是：

是否有其他方法将iframe的渲染限制为特定域

是否仍然可以确定客户端未从指定的实际域名进行连接

---

谢谢大家

为什么要担心主机文件？攻击者不能在没有另一个攻击向量的情况下更改用户的主机文件。如果攻击者更改自己的主机文件，这不应该是一个风险，因为他们只能攻击自己。如果您的应用程序信任客户端信息，那么如果它被修改会有风险，则不应该这样做。基本上，我希望将

example.com

列为白名单，以便能够嵌入iframe。一旦您更改了hosts文件，您就可以模拟being example.com，从而在本地加载帧。对此您无能为力-所有数据都是客户端的。想要在自己的计算机上构建您的站点的用户可以禁用浏览器上的安全检查，或者通过拦截代理操作标题。您为什么担心主机文件？攻击者不能在没有另一个攻击向量的情况下更改用户的主机文件。如果攻击者更改自己的主机文件，这不应该是一个风险，因为他们只能攻击自己。如果您的应用程序信任客户端信息，那么如果它被修改会有风险，则不应该这样做。基本上，我希望将

example.com

列为白名单，以便能够嵌入iframe。一旦您更改了hosts文件，您就可以模拟being example.com，从而在本地加载帧。对此您无能为力-所有数据都是客户端的。想要在自己的计算机上构建站点的用户可以禁用浏览器上的安全检查，或者通过拦截代理操作标题。