In un'area protetta di un sito partner vorremmo incorporare un iFrame. Il partner genererà un hash (accessToken) che formerà una parte di src di iFrame, ad es. <iframe src="our-domain.com?hash={accessToken}" /> .
In questo modo il partner avrà accesso alla nostra area amministrativa. Vorremmo garantire che i dati sensibili siano aperti solo dal sito partner.
Le mie idee per proteggere la nostra pagina dall'essere aperta al di fuori dell'iframe:
- OPZIONI X-FRAME - ma sembra inutile in quanto puoi aprire il link nel browser non supportato o in una nuova pagina, vedi questa risposta
-
Contrassegna hash come usato - non appena viene richiamato GET su
our-domain.com?hash={accessToken}, contrassegneremoaccessTokencome usato in modo che i successivi GET non siano possibili. Ma non è possibile impedire che iFrame venga caricato e rubare l'uri?
Quali altre opzioni potremmo usare? O è già abbastanza sicuro?