Fare med iFrame
- Trådstarter kongen
- Startdato
xdex
Medlem
Jeg tillater aldri iframes, men det er på grunn av iframe hijacking etc, finnes mange fancy ord. Dessuten, ser jeg ikke helt vitsen i å tulle med iframes på denne måten? Hvorfor ikke bruke javascript/json eller lignende til å hente informasjon? Det vil gi deg mye mer kontroll.
Du kan jo også snu spørsmålet ditt, for å besvare deg selv. "Hvis alle inkluderte min iframe, ville det da skjedd noen skade?" Alt er jo relativt, i forhold til hva denne eksterne siden gjør. Dersom den endrer noe, hver gang den lastes, så JA, da er det jo store problemer ute og går. Vi får jo ikke vite hva som skal skje, og når det skal skje.
Men, jeg regner jo med du tenker på alt dette med requests etc.
Du kan jo også snu spørsmålet ditt, for å besvare deg selv. "Hvis alle inkluderte min iframe, ville det da skjedd noen skade?" Alt er jo relativt, i forhold til hva denne eksterne siden gjør. Dersom den endrer noe, hver gang den lastes, så JA, da er det jo store problemer ute og går. Vi får jo ikke vite hva som skal skje, og når det skal skje.
Men, jeg regner jo med du tenker på alt dette med requests etc.
xdex
Medlem
Er bare å hindre embed av iframe, dersom du gjør det, vil du ikke kunne laste ned noe fra den siden med iframe. Ergo, da vil ikke dette eksperimentet ditt fungere. Grunnen til at folk ofte blokkerer iframes, er jo f.eks. facebook. Tenk deg å legge inn en iframe fra facebook, og gjøre den usynlig. Over legge du en knapp som heter "gå videre", hver gang noen da hadde trykket på "gå videre" ville dem automatisk likt siden din. Dette er jo bare ett helt "ufarlig" eksempel, men om dette hadde gått ann i nettbanker osv.. ja da sier det seg selv at vi hadde fått problemer.
For å hindre iframes kan du f.eks bruke,
Når det er sagt, finnes det nok løsning som f.eks. bare tillater iframe fra en spesifikt side, da må man evt. gjøre dette i htaccess regner jeg med, da javascript er utelukket for deg.
For å hindre iframes kan du f.eks bruke,
Kode:
<meta http-equiv="X-Frame-Options" content="deny">Når det er sagt, finnes det nok løsning som f.eks. bare tillater iframe fra en spesifikt side, da må man evt. gjøre dette i htaccess regner jeg med, da javascript er utelukket for deg.