最受欢迎

允许页面只在iframe中加载

Allow a page to only load in an iframe

本文关键字:加载 iframe 许页面 | 更新日期: 2023-09-27

如何允许我的PHP文件只在iframe中加载?

例如:

  • 禁止直接访问:example.com/Loader.php
  • 允许iframe访问:<iframe name="TEST" src="Example.com/Loader.php"></iframe>

您不会使用PHP。javascript。

if(window==window.top) {
    // not in an iframe
}

假设你有一个文件file1.php,里面有一个iframe,这个iframe指向file2.php

file1.php: 
<iframe src="file2.php" width="500" height="100"></iframe>
file2.php: 
<?php
echo "This file exist in an iframe";
?>

那么让我们将file1.php更新为以下代码:

<?php
session_start();
$_SESSION['iframe'] = md5(time()."random sentence");
?>
<iframe src="file2.php?internal=<?php echo $_SESSION['iframe'];?>" width="500" height="100"></iframe>

,也更新file2.php如下:

<?php
session_start();
if(!isset($_SESSION['iframe']) || !isset($_GET['internal']) || $_SESSION['iframe'] != $_GET['internal'])
    {
        die("This page can be accessed just from within an iframe");
    }
unset($_SESSION['iframe']);
//Continue processing using your own script
?>

试试这个,告诉我这是否有效:)

我知道这个话题很老了,但我正在寻找一种自己做到这一点的方法。

所以也许其他人在未来会发现这篇文章寻求一种纯php方法来强制页面只在iframe内加载。

我的解决方案如下:

如果你同时控制两个页面(调用iframe的页面和加载在iframe中的页面),这是可以做到的。

首先验证引用页。如果引用页不正确,则终止该页。

$referal_page = $_SERVER['HTTP_REFERER'];
if ($referal_page != $_SERVER['REQUEST_SCHEME']."://".$_SERVER['HTTP_HOST'].'/main/page/loading/iframe.php') {
    die;
}
因为任何人都可以欺骗HTTP_REFERER,这不是一个最终的解决方案。因此,我使用存储在数据库中的加载键为我的网站的每个用户。在被框架的页面上: 
if (isset($_GET['key1'])) {
    $key1 = strip_tags($_GET['key1']);
    $stmt = $db->prepare('SELECT user_key FROM page_keys WHERE username = :username');
    $stmt->bindParam(':username', $username);
    $stmt->execute();
    $userkey = $stmt->fetchColumn();
    if ($userkey == $key1) {
        $bytes = random_bytes(12); //random. Increase input for more bytes
        $key2 = bin2hex($bytes);
        $stmt = $db->prepare('UPDATE page_keys SET user_key=:key WHERE username = :username');
        $stmt->bindParam(':username', $username);
        $stmt->bindParam(':key', $key2);
        $stmt->execute();
    } else {
        die;
    }
} else {
    die;
}

在加载iframe的页面上:

$stmt = $db->prepare('SELECT count(id) AS key_check FROM page_keys WHERE username = :username');
$stmt->bindParam(':username', $username);
$stmt->execute();
$key_check = $stmt->fetchColumn();
if ($key_check == 0) {
    $bytes = random_bytes(12); //random. Increase input for more bytes
    $userkey = bin2hex($bytes);
    $stmt = $db->prepare('INSERT into page_keys (username, user_key) VALUES (:username, :user_key)');
    $stmt->bindParam(':username', $username);
    $stmt->bindParam(':user_key', $userkey);
    $stmt->execute();
} else {
    $stmt = $db->prepare('SELECT user_key FROM page_keys WHERE username = :username');
    $stmt->bindParam(':username', $username);
    $stmt->execute();
    $userkey = $stmt->fetchColumn();
}

最后在iframe本身上:

<iframe id="page" src="the_page.php?key1=<?php echo $userkey;?>">

也可以使用标题重定向到加载iframe的页面,而不是die;

不使用javascript这样做的原因是,用户仍然可以禁用javascript并加载页面,导致页面上的任何php仍然在运行。

相关文章:
最新更新
www.56WenDa.com 2012-2023 | php问答网 | php学习