是否可以允许您域中包含表单的页面嵌入到未知域的页面中,并能够检测来自该页面上其他元素的 DOM 事件?
我试图调查的问题是恶意方嵌入了页面,然后在我们嵌入的表单顶部放置了一个清晰的表单(所谓的点击劫持)。
问题是该表单旨在嵌入第三方网站,因此无法通过使用 X-Frame-Option 标头进行限制。即使我们要求用户注册他们的域,恶意用户也可能只是注册他们的域!
所以我正在寻找一种方法来检测是否阻止了诸如 keydown 之类的 DOM 事件传播到我的表单组件,但是由于清晰的表单覆盖将是同级元素并且超出 iframe 的范围,我担心没有这样做的方式。
我理解框架破坏的概念(但我们的嵌入意味着在框架中)和限制对某些域的访问的概念(但如上所述,这无济于事),但想知道是否有人有允许嵌入的经验表格的数量以及嵌入后如何保护表格。