这个问题的第 1 部分是 iframe 问题。
您将 domainA/page.html 嵌入到 domainB 上的 iframe 中,http 引用者自然会是 domainA。
那么以下伪 javascript 是否足以保护 domainA 不被嵌入到 domainB 上的 iframe 中?javascript有效性并不重要,只是概念。
if( window.top.href != domainA ) window.top.href = domainA
第 2 部分基本上是任何其他欺骗域的方法。我想您可以逐个客户端地伪造 http 引荐来源网址(例如,通过修补离开浏览器的标头)......但这没什么大不了的。(尽管解释这是如何工作的将是一个很棒的回应)。