Framebusting con messaging API di HTML5

di ,

Il framebusting descrive una tecnica che consente di evitare che i contenuti di un sito web siano esposti in un iFrame di un sito terzo.

In questo script vedremo come testare se il nostro sito/pagina è contenuto in un iframe e in caso positivo "estrarlo" dallo stesso indirizzando il browser sullo stesso. Per consentire a siti "partner" di fruire del contenuto del nostro sito o pagina, utilizzeremo le messaging API di HTML5.

Il codice seguente esegue una funzione che testa se il sito è contenuto in un browser, la funzione viene richiamata in maniera temporizzata, in modo da restare in attesa per il tempo necessario a ricevere un messaggio proveniente dal sito partner, che disabiliterà il framebusting.

Javascript
var timer;

if(window !== window.top){

  timer = setTimeout(
    function(){
      popOut();
  }, 2000);
  
}

function popOut(){  
    window.top.location = location;
}

window.addEventListener("message", function(e){
  if(e.origin = "friendlyUrl"){
    clearTimeout(timer);
  }), true);    

Nella funzione registrata con il metodo addEventListener, è presente un controllo sull'Origin del messaggio, che dovrebbe pervenire da un url riconosciuto come sito "partner".

La pagina del sito partner, che contiene l'iFrame, dovrà inviare un messaggio alla pagina contenuta nell'iFrame per evitare che questa proceda con il framebusting


Javascript

var container = document.getElementById("iframe").contentWindow;

container.postMessage("Hello!", "http://mytargetsite.com");
 

La specifica completa delle messaging API è disponibile qui: http://www.whatwg.org/specs/web-apps/current-work/multipage/web-messaging.html

Commenti

Visualizza/aggiungi commenti

Framebusting con messaging API di HTML5 (#66) 1010 2
| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Approfondimenti

I più letti di oggi