Il framebusting descrive una tecnica che consente di evitare che i contenuti di un sito web siano esposti in un iFrame di un sito terzo.
In questo script vedremo come testare se il nostro sito/pagina è contenuto in un iframe e in caso positivo "estrarlo" dallo stesso indirizzando il browser sullo stesso. Per consentire a siti "partner" di fruire del contenuto del nostro sito o pagina, utilizzeremo le messaging API di HTML5.
Il codice seguente esegue una funzione che testa se il sito è contenuto in un browser, la funzione viene richiamata in maniera temporizzata, in modo da restare in attesa per il tempo necessario a ricevere un messaggio proveniente dal sito partner, che disabiliterà il framebusting.
var timer; if(window !== window.top){ timer = setTimeout( function(){ popOut(); }, 2000); } function popOut(){ window.top.location = location; } window.addEventListener("message", function(e){ if(e.origin = "friendlyUrl"){ clearTimeout(timer); }), true);
Nella funzione registrata con il metodo addEventListener, è presente un controllo sull'Origin del messaggio, che dovrebbe pervenire da un url riconosciuto come sito "partner".
La pagina del sito partner, che contiene l'iFrame, dovrà inviare un messaggio alla pagina contenuta nell'iFrame per evitare che questa proceda con il framebusting
var container = document.getElementById("iframe").contentWindow; container.postMessage("Hello!", "http://mytargetsite.com");
La specifica completa delle messaging API è disponibile qui: http://www.whatwg.org/specs/web-apps/current-work/multipage/web-messaging.html
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Graceful shutdown di un hosted service di ASP.NET Core
Leggere il valore di un header della richiesta in ASP.NET Core 6
Compilare un'applicazione .NET Core con una GitHub Action
Certificati TLS gestiti con Azure API Management
Introduzione a Azure Container Apps
Ottimizzare il json generato dalla serializzazione con System.Text.Json eliminando i valori non necessari
Layout skeleton per Screen Reader
Retry automatico di un task di una pipeline di Azure DevOps
Cambiare a runtime la stringa di connessione di Entity Framework Core
Comprimere le immagini contenute in un repository con una GitHub Action
Utilizzare il metodo reduce in JavaScript
Usare il throttling per limitare la frequenza degli eventi in Blazor