Come posso limitare il mio iFrame a utilizzare solo contenuti locali (cioè non di altri siti Web)? La mia domanda è il contrario di la domanda come impedire agli altri siti di utilizzare il mio sito in un iframe.
Sto utilizzando Tomcat / Java / JSP.
Come posso limitare il mio iFrame a utilizzare solo contenuti locali (cioè non di altri siti Web)? La mia domanda è il contrario di la domanda come impedire agli altri siti di utilizzare il mio sito in un iframe.
Sto utilizzando Tomcat / Java / JSP.
Puoi impostare una politica di sicurezza del contenuto intestazione con la direttiva child-src .
Ad esempio, questo consentirà solo il contenuto fotogramma dello stesso dominio:
Content-Security-Policy: child-src 'self'
Invece di 'self' puoi anche specificare una particolare origine.
Qui è una semplice demo (il meta tag è usato per simulare l'intestazione). Dovrebbe essere caricato solo il primo frame:
<meta http-equiv="Content-Security-Policy" content="child-src http://example.com/">
<iframe src="http://example.com/"></iframe><iframesrc="http://example.org/"></iframe>
Nota che questo funziona in Firefox e Chrome, ma non è supportato in IE / Edge .
Leggi altre domande sui tag web-application iframe