Предотвращение встраивания сторонних iframe в iframe

Владельцы веб-сайтов часто сталкиваются с проблемой встраивания своих страниц в сторонние фреймы (iframe) веб-сайты. Хотя заголовок запроса реферера оказывается неэффективным для обнаружения этого сценария во время загрузки страницы, существует несколько подходов к решению этой проблемы.

Обнаружение JavaScript

После загрузки страницы JavaScript может использоваться для определения того, отображается ли оно внутри кадра. Сравнивая свойства top и self, можно определить, встроена ли страница. Если они различаются, страница находится внутри iframe.

Заголовок X-FRAME-OPTIONS

Некоторые современные браузеры поддерживают заголовок X-FRAME-OPTIONS, который предлагает два Опции:

• DENY: предотвращает загрузку страницы, если она находится в пределах iframe
• SAMEORIGIN: ограничивает загрузку тем же доменом, что и родительский фрейм.

Браузеры, такие как Picasa, учитывают этот заголовок и предотвращают встраивание со сторонних веб-сайтов.

Поддержка браузером заголовка X-FRAME-OPTIONS

Браузеры, поддерживающие X-FRAME-OPTIONS с их минимальными версиями включают:

• IE8 и IE9
• Opera 10.50
• Safari 4
• Chrome 4.1.249.1042
• Firefox 3.6.9 (или более ранней версии с Расширение NoScript)