如何允许我的PHP文件只在iframe
中加载?
- 禁止直接访问:
example.com/Loader.php
- 允许iframe访问:
<iframe name="TEST" src="Example.com/Loader.php"></iframe>
您不会使用PHP。javascript。
if(window==window.top) {
// not in an iframe
}
假设你有一个文件file1.php
,里面有一个iframe
,这个iframe
指向file2.php
<iframe src="file2.php" width="500" height="100"></iframe>
file2.php:
<?php
echo "This file exist in an iframe";
?>
那么让我们将file1.php更新为以下代码:
<?php
session_start();
$_SESSION['iframe'] = md5(time()."random sentence");
?>
<iframe src="file2.php?internal=<?php echo $_SESSION['iframe'];?>" width="500" height="100"></iframe>
,也更新file2.php如下:
<?php
session_start();
if(!isset($_SESSION['iframe']) || !isset($_GET['internal']) || $_SESSION['iframe'] != $_GET['internal'])
{
die("This page can be accessed just from within an iframe");
}
unset($_SESSION['iframe']);
//Continue processing using your own script
?>
试试这个,告诉我这是否有效:)
我知道这个话题很老了,但我正在寻找一种自己做到这一点的方法。
所以也许其他人在未来会发现这篇文章寻求一种纯php方法来强制页面只在iframe内加载。
我的解决方案如下:
如果你同时控制两个页面(调用iframe的页面和加载在iframe中的页面),这是可以做到的。
首先验证引用页。如果引用页不正确,则终止该页。
$referal_page = $_SERVER['HTTP_REFERER'];
if ($referal_page != $_SERVER['REQUEST_SCHEME']."://".$_SERVER['HTTP_HOST'].'/main/page/loading/iframe.php') {
die;
}
因为任何人都可以欺骗HTTP_REFERER,这不是一个最终的解决方案。因此,我使用存储在数据库中的加载键为我的网站的每个用户。在被框架的页面上:
if (isset($_GET['key1'])) {
$key1 = strip_tags($_GET['key1']);
$stmt = $db->prepare('SELECT user_key FROM page_keys WHERE username = :username');
$stmt->bindParam(':username', $username);
$stmt->execute();
$userkey = $stmt->fetchColumn();
if ($userkey == $key1) {
$bytes = random_bytes(12); //random. Increase input for more bytes
$key2 = bin2hex($bytes);
$stmt = $db->prepare('UPDATE page_keys SET user_key=:key WHERE username = :username');
$stmt->bindParam(':username', $username);
$stmt->bindParam(':key', $key2);
$stmt->execute();
} else {
die;
}
} else {
die;
}
在加载iframe的页面上:
$stmt = $db->prepare('SELECT count(id) AS key_check FROM page_keys WHERE username = :username');
$stmt->bindParam(':username', $username);
$stmt->execute();
$key_check = $stmt->fetchColumn();
if ($key_check == 0) {
$bytes = random_bytes(12); //random. Increase input for more bytes
$userkey = bin2hex($bytes);
$stmt = $db->prepare('INSERT into page_keys (username, user_key) VALUES (:username, :user_key)');
$stmt->bindParam(':username', $username);
$stmt->bindParam(':user_key', $userkey);
$stmt->execute();
} else {
$stmt = $db->prepare('SELECT user_key FROM page_keys WHERE username = :username');
$stmt->bindParam(':username', $username);
$stmt->execute();
$userkey = $stmt->fetchColumn();
}
最后在iframe本身上:
<iframe id="page" src="the_page.php?key1=<?php echo $userkey;?>">
也可以使用标题重定向到加载iframe的页面,而不是die;
不使用javascript这样做的原因是,用户仍然可以禁用javascript并加载页面,导致页面上的任何php仍然在运行。