Configurar URL acessível apenas por iFrame

fabiostti
(usa CentOS)

Enviado em 10/11/2022 - 10:44h

Pessoal, qualquer ajuda será muito bem-vinda. Como configurar isso?
Versões: CentOS 8, apache 2.4
Cenário 01: Bloquear o acesso à https://meuservidor.com.br/meuapp (SaaS), permitindo apenas requisições vindas do domínio https://dominiodocliente.com.br que vai acessar meuapp através de um iframe incluído no seu site.
Cenário 02 (desejável) .: O mesmo do Cenário 01, mas apenas usuários logados em htps://dominiodocliente.com.br conseguiriam acessar.

distromaialinux
(usa Debian)

Enviado em 11/11/2022 - 15:25h

Olá amigo!, não sei se entendi direito mas dê uma olhadinha neste projeto em iframe neste site e plataforma online: http://jsfiddle.net/pablofiumara/mCfAe/

Entrando na url acima você pode editar a url defina no código para a sua url, edite o tamanho largura e altura, coloque para não ter borda se desejar, além disso é possível editar o css também.

Eu achei interessante e talvez te ajude com alguma coisa. Mas lembre-se de que ao usar o IFrame você correrá grande risco de invasão, então além do iframe, considere validar bastante o código no que se diz respeito a cookies e requisições com o php, para diminuir as chances e brechas de invasões.

No arquivo de configuração do servidor web que fica no diretório /etc/nginx/ ou /etc/httpd/ você precisa ativar o iframe:

Para apache: Header always set X-Frame-Options "SAMEORIGIN"

Para NGINX: add_header X-Frame-Options SAMEORIGIN always;

E para negar o uso o iframe trocar o "SAMEORIGIN" para "DENY"

Espero ter ajudado com alguma coisa, beleza! boa sorte!

msoliver
(usa Debian)

Enviado em 12/11/2022 - 00:51h

Boa noite Fábio,
segue sugestão:
Esta é a página "alvo"

<?php

$ref=$_SERVER['HTTP_REFERER'];

$orig_def="http://dominio.com/paginaorigem.php";



        if( $ref == $orig_def){

	    echo "OK, $ref == $orig_def<hr>";

	}else{

	    echo "URL chamada de outro local<hr>";

        exit();

	}

?> 

Obs.: Veja a Política de referência no cabeçalho, da "paginaorigem".

______________________________________________________________________
Importante:
lynx --dump https://www.vivaolinux.com.br/termos-de-uso/ | sed -nr '/^[ ]+Se/,/dou.$/p'
______________________________________________________________________
Nota de esclarecimento:
O comando: ACIMA, faz parte da minha assinatura.
Att.: Marcelo Oliver
______________________________________________________________________

fabiostti
(usa CentOS)

Enviado em 25/11/2022 - 12:45h

Valeu distromaialinux e msoliver. As respostas de vcs deram a direção. Resolvi "parcialmente" conforme abaixo. Porém, estou ciente que o bloqueio por HTTP Referer pode ser burlado (https://youtu.be/XDjsMgA7Fbg). Por isso, a pergunta permanece. Só partindo para programação mesmo?

# httpd.conf
<VirtualHost *:443>
...
<Location /meuapp>
Require ip 127.0.0.1
Require ip <ip do servidor web>
Require host <dominiodocliente.com.br>
SetEnvIf Referer "^https://dominiodocliente\.com\.br/" localreferer
SetEnvIf Referer "^https://meuservidor\.com\.br/" localreferer2
<RequireAny>
Require env localreferer
Require env localreferer2
</RequireAny>
</VirtualHost>